CyberGlossary

Уязвимости

PrintNightmare (CVE-2021-34527)

Также известно как: CVE-2021-34527, RCE spoolsv

Определение

Уязвимость Windows Print Spooler 2021 года, позволявшая малопривилегированному пользователю установить вредоносный драйвер печати и выполнить код с правами SYSTEM.

PrintNightmare (CVE-2021-34527 и связанная CVE-2021-1675) — дефект сервиса Print Spooler Windows, который недостаточно проверял вызовы AddPrinterDriverEx. Направив spooler на вредоносную DLL через сетевой ресурс, доменный пользователь — а при определённых конфигурациях и удалённый неаутентифицированный атакующий — мог загрузить эту DLL и выполнить произвольный код от имени SYSTEM, в том числе на контроллерах домена. Уязвимость была случайно раскрыта в июле 2021 года и быстро вооружена операторами шифровальщиков. Microsoft выпустила внеплановые патчи и рекомендации по укреплению реестра. Защита: установить все патчи PrintNightmare, отключить Print Spooler на серверах, где он не нужен (особенно на DC), ограничить Point-and-Print только администраторами.

Примеры

  • Группы шифровальщиков использовали PrintNightmare для повышения до SYSTEM и развёртывания payload на DC.
  • Red team поднимается с обычной доменной учётной записи до локального админа через PrintNightmare.

Связанные термины