Újabb elsőnapos biztonsági rést találtak, amit egyelőre nekünk kell kivédenünk
Míg a fél világ a Windows 11 megjelenését várja, addig a Windows 10 története halad tovább a maga, biztonsági résekkel terhelt útján. Számtalanszor bebizonyosodott már, hogy feltörhetetlen rendszer nem igazán létezik, a Windowst azonban talán egyedül a sebezhetetlenség veszélye nem fenyegette soha, hiszen a mai napig fedeznek fel benne olyan hibákat, melyek a 2015-ös megjelenés óta rejtőztek a kódsorok között. A legújabb találat ráadásul azért is különös, mert valószínűleg véletlenül osztották meg a nagyközönséggel, és még az amerikai kiberbiztonság is figyelmeztetést adott ki miatta.
Július első napján új, a Windows 10 rendszert érintő sebezhetőségről érkezett jelentés, mely okozott némi zűrzavart a felhasználók között. A Microsoft listáján ugyanis feltűnt egy jelentés, mely a CVE-2021-1675-ös lajstromszám alatt szerepelt, ám kiderült, hogy ezt már ártalmatlanították. A felfedezés nem, a felfedés viszont a kínai székhelyű biztonságtechnikai cég, a Sangfor Technologies érdeme, ám a híroldalak beszámolói alapján eredetileg nem állt szándékukban kérkedni a dologgal. A vállalat kutatói augusztus 4-én, a Black Hat USA rendezvényen mutatnak be egy tanulmányt, amely a Windows Print Spooler szolgáltatásban rejlő támadási lehetőségeket boncolgatja. Az előadás az abban található helyi jogosultságok kiterjesztését (LPE) és távoli kódfuttatást (RCE) érintő sebezhetőségeket vizsgálja, a 2020-ban megoldott régi PrintDemon hiba korábbi kutatásai alapján. "Bár az iparág biztonsági kutatói már több mint egy évtizede keresnek hibákat a Spoolerben, idén a Sangfor biztonsági kutatói több nulladik napi sebezhetőséget fedeztek fel a Spoolerben" – közölte a vállalat.
Az eset azért igazán érdekes, mert a problémát elvileg korábban felfedezték, a Microsoft pedig eredetileg az alacsonyabb LPE besorolást adta neki, ám néhány héttel később egy csapat kutató jelezte nekik, hogy érdemes átgondolni a dolgot, ugyanis a hiba valójában inkább RCE plecsnit érdemel, tehát a távoli kódfuttatást is lehetővé teszi. Miután bebizonyosodott, hogy a rés valóban lehetőséget nyújt mindkét támadási forma bevetésére, a Microsoft javítást adott ki, és ezzel elintézettnek tekintette az ügyet. Ekkor jött az említett Sangfor, mely véletlenül egy olyan Twitter-bejegyzést tett közzé, melyben a PrintNightmare-re keresztelt hiba kihasználásának részletes technikai leírása, vagyis PoC (proof of concept) dokumentuma szerepelt. Ebből kiderült, hogy egy zero-day, vagyis a kezdetektől jelen lévő sebezhetőségről van szó, mely nem azonos a korábban orvosolt veszéllyel, és egyelőre nincs rá gyógymód. A kód egyből felkerült a GitHub oldalára, melyet a kutatók megpróbáltak eltüntetni, de ehhez sajnos már túl késő volt, hiszen a részletek már nyilvánossá váltak és terjedni kezdtek.
A kissé kusza helyzetet ma a Sophos biztonsági cég egy nyilvános bejegyzésben tisztázta, melyben leírták, hogy a Microsoft által közzétett CVE-2021-1675 nem teljesen azonos a PrintNightmare néven emlegetett problémával. Azt is egyértelművé tették, hogy az előbbi valóban kapott egy foltozást még júniusban, utóbbi viszont jelenleg is aktívan kihasználható és javításra vár. A rapid7.com szerint a még a legújabb biztonsági frissítéssel rendelkező Windows Server is támadható távolról futtatott rosszindulatú kódok segítségével, de amúgy az összes elérhető Windows kiadásban jelen van, az viszont még nem nyert bizonyítást, hogy minden verziót sebezhetővé tesz-e, esetleg van szerencsés kivétel. Mint azt többen is írják, a Microsoftnak ezzel a problémával külön is foglalkoznia kell, mivel egy esetleges betörés alkalmával a támadók rendszergazdai jogosultságot szerezhetnek, hozzáférhetnek a gépeken tárolt adatokhoz és módosításokat is végezhetnek, így komoly károkat okozhatnak.
A hivatalos álláspont szerint a Microsoft vizsgálja a hibát és dolgozik a sokadik javításon, így az egyetlen megoldás a Windows Print Spooler szolgáltatás kikapcsolása, a jelentésben taglalt parancsok segítségével, illetve a csoportházirend beállításai között, ahol a távoli nyomtatási szolgáltatást javasolt pihenőre küldeni. Magyar nyelvű leírást egyelőre nem igazán találni róla, de ha a Start menü keresőjébe beírjuk, hogy services.msc, akkor megnyílik a Szolgáltatáskezelő, ahol valószínűleg a Nyomtatási várólistára kell kattintanunk (korábban a Nyomtatásisor-kezelőt kellett keresni, de ezen a néven már nem szerepel), ahol az Indítás típusánál letiltható. A probléma az, hogy bármelyik nyomtatási beállítást is helyezzük üzemen kívül, az meggátolja a nyomtatási feladatokat, tehát aki nem érzi fenyegetve magát, annak át kell gondolnia a deaktiválást.
Ahogy azt a Sangfor is említi, a Print Spooler évek óta nyit kaput a hackerek számára, a híreket böngészve pedig megtalálhatjuk a Stuxnet vírusos támadás több mint tíz éves beszámolóit, melyek Irán egyik urándúsító létesítményét értő szabotázsról mesélnek. Ez a rendszerösszetevő azóta többször is kapott javítást, ám ezek szerint még mindig tele van kritikus besorolású sebezhetőséggel, amik kihasználásra várnak.