PoC-эксплойт для RCE в спулере печати Windows по недомыслию слили в Сеть

Татьяна Никитина 30 Июня 2021 - 09:07

Домашние пользователи

...

Одна из команд, обнаруживших очередную уязвимость в диспетчере очереди печати Windows, выложила подробное описание и свой PoC-код на GitHub. Через пару часов исследователи одумались и сняли публикацию, но несколько пользователей успели скопировать опасную разработку.

Уязвимость CVE-2021-1675, связанную с работой службы SpoolSv, в Microsoft вначале классифицировали как локальное повышение привилегий, но впоследствии отнесли к категории «удаленное исполнение кода» (RCE). Проблема признана критичной для всех версий Windows; патчи доступны в составе июньских обновлений.

О новой уязвимости в спулере печати разработчику сообщили эксперты Tencent Security, AFINE и NSFOCUS. Технические детали никто из них пока не разглашал, в бюллетене Microsoft такая информация тоже отсутствует.

На прошлой неделе китайская ИБ-компания QI-ANXIN опубликовала невнятное GIF-изображение некого эксплойта CVE-2021-1675, но от подробного описания воздержалась. Этот шаг оказался провокационным — на раскрытие своей находки отважились исследователи из Sangfor Technologies. Они самостоятельно обнаружили тот же баг и решили приберечь его для показа на ближайшем конкурсе Tianfu Cup, но пример соотечественников из QI-ANXIN оказался, видимо, слишком заразительным.

К публикации Sangfor подготовилась обстоятельно: на GitHub появились подробное изложение проблемы, которую в компании нарекли PrintNightmare, и полнофункциональный PoC-эксплойт. Чуть позже баг-хантеры осознали, что преждевременное раскрытие деталей сведет на нет весь эффект от доклада, который они собирались сделать в начале августа на конференции Black Hat USA 2021.

Специально созданный репозиторий на GitHub быстро удалили, но коллеги Sangfor успели скопировать расшаренный PoC-код несколько раз. Утечка пока ограничена закрытыми ИБ-сообществами; не исключено, что вскоре этот рабочий эксплойт сольют обратно в паблик. Пользователям Windows стоит поторопиться с установкой патча, если они еще этого не сделали.

Заметим, Print Spooler появился в Windows еще в 90-е, поэтому уязвимости в этой подсистеме затрагивают и Vista, и XP. А проблемы с безопасностью этого почтенного сервиса возникают с завидной регулярностью — в памяти еще свежи PrintDemon, CVE-2020-1337, Evil Printer (CVE-2016-3238), не говоря уже о 0-day, которая использовалась в атаках Stuxnet (CVE-2010-2729).

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 10 Ноября 2025 - 15:26

Уязвимости программ Общее

Whisper Leak: новая атака раскрывает темы диалогов с ИИ даже при шифровании

Исследователи Microsoft рассказали о новом векторе кибератаки под кодовым названием Whisper Leak. Он позволяет злоумышленникам вычислять, о чём человек разговаривает с искусственным интеллектом, даже если весь трафик зашифрован.

Наблюдая за сетевым трафиком между пользователем и языковой моделью, атакующий может анализировать размеры и интервалы передачи пакетов, чтобы определить тему диалога.

При этом содержимое сообщений остаётся зашифрованным, но характер обмена данными оказывается достаточно информативным, чтобы классифицировать разговор.

Как предупредила Microsoft, в зоне риска находятся пользователи, чей трафик может быть перехвачен — например, на уровне интернет-провайдера, в локальной сети или при подключении к общему Wi-Fi.

Исследователи отмечают, что атака может применяться для слежки за темами вроде финансовых операций, политических обсуждений или других конфиденциальных запросов.

Whisper Leak использует особенности потоковой генерации ответов (streaming mode), когда языковая модель отправляет текст постепенно, а не целиком после завершения обработки. Это даёт злоумышленнику возможность фиксировать различия в размерах и частоте пакетов данных, а затем с помощью алгоритмов машинного обучения — таких как LightGBM, Bi-LSTM и BERT — определять, к какой теме относится запрос.

По данным Microsoft, при тестировании многие модели — включая решения от Alibaba, DeepSeek, Mistral, Microsoft, OpenAI и xAI — показали точность классификации выше 98%. У моделей Google и Amazon результаты были лучше за счёт иной архитектуры, но и они оказались не полностью защищены.

После уведомления об уязвимости компании OpenAI, Microsoft, Mistral и xAI внедрили меры защиты. Одним из эффективных методов стало добавление случайных текстовых вставок переменной длины в ответы модели. Это делает размеры пакетов менее предсказуемыми и мешает анализировать поток данных.

Microsoft также рекомендует пользователям избегать обсуждения конфиденциальных тем при работе с чат-ботами через общественные сети, использовать VPN, по возможности выбирать непотоковые версии моделей и отдавать предпочтение сервисам, уже внедрившим защиту от подобных атак.

По сути, Whisper Leak показывает, что даже шифрование не всегда гарантирует приватность, если злоумышленник умеет «слушать» не слова, а ритм и объём разговора с искусственным интеллектом.

Подробнее о тёмной стороне искусственного интеллекта, а также угрозах, которые он несёт, можно почитать в нашей статье.