- Статус
- Offline
- Регистрация
- 22 Июн 2018
- Сообщения
- 1,508
- Реакции
- 13
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Ранее на этой неделе многие ИБ-исследователи предупреждали, что экстренный патч для опасной уязвимости PrintNightmare оказался неэффективен и не устранял проблему окончательно. Напомню, что эксперты обнаружили, что даже после установки исправления уязвимость все еще можно эксплуатировать локально для получения привилегий SYSTEM.
Хуже того, разработчик Mimikatz Бенджамин Делп сообщал, что патч можно обойти полностью и использовать уязвимость не только для локального повышения привилегий, но и для удаленного выполнения произвольного кода. Для этого должна быть активна политика Point and Print Restrictions, а параметр «When installing drivers for a new connection» должен быть установлен на значение «Do not show warning on elevation prompt».
Теперь в Microsoft ответили на эти предупреждения и сообщили, что патч работает корректно:
После выхода патча пользователи стали массово жаловаться в Twitter и на Reddit, что печать на принтерах для этикеток Zebra стала невозможна. По словам пострадавших, проблема затрагивала только принтеры, напрямую подключенные к Windows-устройствам через USB. Принтеры Zebra, подключенные к серверу печати, не пострадали.
Разработчики Zebra подтвердили, что им известно о проблеме. В компании советовали:
Интересно, что в Microsoft сообщили, что эти сбои вообще не связаны с CVE-2021-34527 и CVE-2021-1675, но вызваны изменениями в preview-версии накопительного обновления за июнь 2021 года. Разработчики выпустили экстренные патчи для Windows 10 2004, Windows 10 20H2 и Windows 10 21H1, чтобы устранить баги.
Хуже того, разработчик Mimikatz Бенджамин Делп сообщал, что патч можно обойти полностью и использовать уязвимость не только для локального повышения привилегий, но и для удаленного выполнения произвольного кода. Для этого должна быть активна политика Point and Print Restrictions, а параметр «When installing drivers for a new connection» должен быть установлен на значение «Do not show warning on elevation prompt».

Теперь в Microsoft ответили на эти предупреждения и сообщили, что патч работает корректно:
Также инженеры Microsoft обновили руководство по исправлению проблемы PrintNightmare и по-прежнему призывают пользователей установить патчи как можно скорее. Теперь руководство выглядит так:«Наше расследование показало, что внеплановое обновление безопасности работает должным образом и эффективно против известных эксплоитов и других публичных отчетов, которые в совокупности известны как PrintNightmare. Все изученные нами отчеты были основаны на изменении настроек реестра по умолчанию, связанных с функцией Point and Print, на небезопасную конфигурацию», — заявили в компании.
- в любом случае применить патч для CVE-2021-34527 (обновление не изменит существующие настройки реестра);
- после применения обновления проверить параметры реестра, задокументированные в описании CVE-2021-34527;
- если перечисленные там ключи реестра не существуют, дальнейшие действия не требуются;
- если ключи реестра существуют, для защиты системы необходимо подтвердить, что для следующих ключей реестра установлены значения 0 (ноль) или они отсутствуют:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) или неопределенно (по умолчанию)
UpdatePromptSettings = 0 (DWORD) или неопределенно (по умолчанию).
После выхода патча пользователи стали массово жаловаться в Twitter и на Reddit, что печать на принтерах для этикеток Zebra стала невозможна. По словам пострадавших, проблема затрагивала только принтеры, напрямую подключенные к Windows-устройствам через USB. Принтеры Zebra, подключенные к серверу печати, не пострадали.
Сообщалось, что баг коснулся только определенных моделей Zebra, включая наиболее популярные: LP 2844, ZT220, ZD410, ZD500, ZD620, ZT230, ZT410 и ZT420.«У нас около 1000 клиентов, использующих принтеры Zebra, и они заваливают нас звонками, потому что не могут печатать. Наверняка виновато это обновление, потому что после его отката [принтер] снова плюется [этикетками]», — пишет один из пользователей.
Разработчики Zebra подтвердили, что им известно о проблеме. В компании советовали:
Однако ситуация усугублялась тем, что это обязательное обновление безопасности, а значит, через некоторое время Windows автоматически установит его опять.«Немедленным способом решения проблемы является удаление обновления KB5004945 для Windows или удаление соответствующего драйвера принтера и его повторная установка с использованием учетных данных администратора».
Интересно, что в Microsoft сообщили, что эти сбои вообще не связаны с CVE-2021-34527 и CVE-2021-1675, но вызваны изменениями в preview-версии накопительного обновления за июнь 2021 года. Разработчики выпустили экстренные патчи для Windows 10 2004, Windows 10 20H2 и Windows 10 21H1, чтобы устранить баги.
Исправления развертываются с помощью Microsoft Known Issue Rollback (KIR), которая распространяет патчи для известных ошибок через Windows Update. То есть патчи должны добраться до большинства пользователей в ближайшие сутки.«После установки обновлений KB5003690 или более поздних (в том числе дополнительных обновлений KB500476 и KB5004945) у вас могли возникнуть проблемы с печатью на определенных принтерах. Наиболее уязвимые устройства — это принтеры для печати чеков и этикеток, которые подключаются через USB», — пишут разработчики Microsoft.