PrintNightmare (CVE-2021-34527)
Что такое PrintNightmare (CVE-2021-34527)?
PrintNightmare (CVE-2021-34527)Уязвимость Windows Print Spooler 2021 года, позволявшая малопривилегированному пользователю установить вредоносный драйвер печати и выполнить код с правами SYSTEM.
PrintNightmare (CVE-2021-34527) — это дефект в службе Windows Print Spooler (spoolsv.exe), которая не ограничивала должным образом доступ к RPC-вызову RpcAddPrinterDriverEx(). Направив spooler на вредоносную DLL драйвера принтера, размещённую на удалённом ресурсе SMB/UNC, любой аутентифицированный доменный пользователь мог заставить работающий с правами SYSTEM spooler загрузить и выполнить эту DLL — что давало как локальное повышение привилегий, так и, против удалённого spooler, полное удалённое выполнение кода. Поскольку Print Spooler по умолчанию работает на контроллерах домена, последствия для сред Active Directory были крайне серьёзными.
Раскрытие проходило хаотично: уязвимость использует тот же путь кода RpcAddPrinterDriverEx, что и CVE-2021-1675 — «важная» LPE, закрытая патчем в июне 2021 года. Когда в конце июня 2021 года исследователи опубликовали код proof-of-concept, полагая, что он нацелен на уже исправленную CVE-2021-1675, на самом деле они запустили отдельную, неисправленную RCE, которую Microsoft переназначила как CVE-2021-34527. Принципиально важно, что патч не останавливал эксплуатацию там, где Point and Print был настроен с NoWarningNoElevationOnInstall = 1.
В июле 2021 года Microsoft выпустила внеплановые обновления и рекомендации по укреплению реестра. Меры защиты: установить все патчи, связанные с PrintNightmare, отключить Print Spooler на серверах, которые не печатают (особенно на контроллерах домена), ограничить установку драйверов Point and Print администраторами и блокировать исходящий SMB к недоверенным хостам.
flowchart TD
A[Малопривилегированный доменный пользователь] --> B[RPC-вызов к spoolsv.exe<br/>RpcAddPrinterDriverEx]
B --> C[Spooler загружает DLL драйвера<br/>с SMB/UNC-ресурса злоумышленника]
C --> D{Ограничения<br/>Point and Print?}
D -->|Без ограничений| E[Spooler загружает DLL как SYSTEM]
D -->|Только администраторы| F[Установка заблокирована]
E --> G[Выполнение кода как SYSTEM]
G --> H[Локальное повышение привилегий]
G --> I[Удалённое выполнение кода на<br/>контроллере домена]● Примеры
- 01
Группы шифровальщиков злоупотребляют PrintNightmare, чтобы повыситься до SYSTEM и развернуть полезную нагрузку на контроллерах домена.
- 02
Операторы red-team используют PrintNightmare для повышения со стандартной доменной учётной записи до локального администратора.
● Частые вопросы
Что такое PrintNightmare (CVE-2021-34527)?
Уязвимость Windows Print Spooler 2021 года, позволявшая малопривилегированному пользователю установить вредоносный драйвер печати и выполнить код с правами SYSTEM. Относится к категории Уязвимости в кибербезопасности.
Что означает PrintNightmare (CVE-2021-34527)?
Уязвимость Windows Print Spooler 2021 года, позволявшая малопривилегированному пользователю установить вредоносный драйвер печати и выполнить код с правами SYSTEM.
Как защититься от PrintNightmare (CVE-2021-34527)?
Защита от PrintNightmare (CVE-2021-34527) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия PrintNightmare (CVE-2021-34527)?
Распространённые альтернативные названия: CVE-2021-34527, Spoolsv RCE.