Команда 0patch предлагает бесплатные микропатчи для PrintNightmare

Команда 0patch предлагает бесплатные микропатчи для PrintNightmare

Команда 0patch предлагает бесплатные микропатчи для PrintNightmare

Специалисты ACROS Security создали микропатчи для RCE-уязвимости в спулере печати Windows, получившей известность как PrintNightmare. Временный фикс устанавливается с помощью агента 0patch и предоставляется в пользование бесплатно — до тех пор, пока Microsoft не выпустит полноценную заплатку.

Напомним, PrintNightmare вначале определили как локальное повышение привилегий, но впоследствии Microsoft скорректировала бюллетень, обозначив категорию как удаленное исполнение кода. Патч для CVE-2021-1675 вышел в прошлом месяце, однако оказалось, что он лишь отчасти устраняет уязвимость.

Тем временем в Сети в общем доступе появились несколько PoC-эксплойтов, которые исправно работали на полностью пропатченных серверных Windows. В Microsoft подтвердили наличие проблемы и зарегистрировали ее под новым идентификатором (CVE-2021-34527), посоветовав пользователям до выхода патча отключить сервис SpoolSv или запретить удаленный вывод на печать через групповые политики.

Ввиду появления данных о попытках использования этой RCE в реальных атаках команда 0patch проанализировала уязвимость и подготовила микропатчи, способные оградить от эксплойта серверы и контроллеры домена в Windows-сетях. Эта защита уже доступна для Windows Server 2019, 2016, 2012 R2 и 2008 R2; сегодня также выйдет микропатч для Windows Server 2012.

Искомый эффект гарантирован только для полностью пропатченных систем. Разработчики обещают выпустить дополнительные микропатчи, если появятся известия о вероятности эксплойта на других Windows-платформах.

Android взламывали через Firefox и старый баг в ядре Linux

Компания Nebula показала эксплуатацию опасной цепочки уязвимостей для Android: устройство можно скомпрометировать на уровне root после одного перехода по вредоносной ссылке. Эксплойт объединяет две проблемы: уязвимость в Firefox 151.0.2 и более ранних версиях браузера, а также старый баг в ядре Linux, который, по данным исследователей, оставался там около 15 лет.

Вместе они позволяют обойти стандартные защитные механизмы Android и получить полный контроль над устройством.

Атака проходит в несколько этапов. Сначала вредоносная веб-страница использует уязвимость в Firefox, чтобы выполнить код или выбраться из песочницы приложения.

Затем в дело вступает баг в ядре Linux: он даёт возможность читать и записывать память ядра, отключить SELinux и повысить привилегии. После этого злоумышленник может установить в систему бинарник su и закрепить root-доступ.

В демонстрации весь процесс занимает считанные секунды. После успешной атаки на устройстве появляется кастомные «живые» обои от исследователей, а рут-шелл становится доступен через Android Debug Bridge. В Nebula также опубликовали PoC-репозиторий CyberMeowfia с логикой адаптации под конкретное железо. По их данным, цепочка работает на устройствах Google Pixel.

Полные технические детали пока не раскрываются: компания уведомила затронутых вендоров и дала им время на исправления. Но опубликованный PoC уже создаёт почву для обратного анализа, так что со временем подробности, скорее всего, всплывут.

Ирония в том, что часть Android-сообщества ждёт раскрытия не только из соображений безопасности, но и как удобный способ рутовать собственные устройства. Для исследователей это баг, для злоумышленников — оружие, а для энтузиастов — потенциальная кнопка «сделать рут».

RSS: Новости на портале Anti-Malware.ru