Microsoft подтвердила проблему.
Microsoft предупредила об уязвимости, которая позволяет запускать удалённый код через Диспетчер очереди печати, и присвоила ей идентификатор CVE-2021-34527.
Служба Print Spooler (spoolsv.exe) по умолчанию активна во всех версиях Windows и, как оказалось, может некорректно выполнять привилегированные ей файловые операции. Этим могут воспользоваться злоумышленники, запустив через неё произвольный код с правами администратора.
Таким образом, хакеры получают доступ к установке и удалению программ, просмотру, изменению и удалению файлов, а также созданию новых учётных записей с полными правами. В сети уязвимость уже получила название PrintNightmare («Печатный кошмар»).
Интересно, что изначально баг обнаружила китайская компания Sangfor Technologies. Специалисты подумали, что Microsoft исправила его обновлением от 8 июня 2021 года и опубликовали технический анализ и PoC-код на платформу GitHub. Осознав ошибку, публикацию удалили, но она уже разлетелась по другим источникам.
Отмечается, что уязвимый код присутствует во всех версиях Windows, но наибольшую угрозу он, вероятно, представляет для серверных сборок — атаке подвержены в том числе контроллеры домена.
Microsoft рекомендует пользователям применить все доступные обновления безопасности и временно отключить службу Диспетчера очереди печати. Если без неё всё же не обойтись, стоит хотя бы приостановить опцию удалённой печати через групповые политики. В таком случае локальные принтеры будут продолжать работу.
Служба Print Spooler существует в экосистеме Windows уже более 20 лет, и исследователи безопасности не раз находили в ней уязвимости. Одну из них использовал нашумевший вирус Stuxnet, который поразил системы ядерных объектов Ирана в 2010 году.
