PrintNightmare вернулся: хакер смог обойти защиту Windows

PrintNightmare вернулся: хакер смог обойти защиту Windows

Новый виток в противостоянии злоумышленников и Microsoft.

image

Недавно опубликованное руководство по группе уязвимостей PrintNightmare вызвало дискуссии о том, как можно обойти ограничения Point and Print (PnP), предложенные в статье. Автор решил не просто обновить пост, а провести дополнительное исследование и найти более эффективные способы защиты от эксплуатации PnP.

Начальные условия заключались в следующем:

  • политика, ограничивающая установку драйверов только администраторами, была отключена;
  • включена политика использования только подписанных драйверов для принтеров;
  • разрешена установка драйверов только с одного авторизованного сервера.

Однако, несмотря на такие настройки, выяснилось, что можно обойти защиту с помощью атаки DNS-спуфинга, подменив имя разрешённого сервера на атакующий.

Автор проверил метод в лабораторных условиях, подменив IP-адрес на адрес сервера злоумышленника, что привело к ошибке, связанной с неправильным именем принтера. Анализ с помощью Wireshark показал, что взаимодействие клиента с сервером происходит через зашифрованный канал DCE/RPC, защищённый от атак NTLM Relay.

Даже после установки политики UNC Path Hardening, которая ограничивает доступ к сетевым путям, удалось обойти защиту. В ответ на вызовы удалённых процедур через DCE/RPC сервер возвращал неверный сетевой путь, что позволяло обойти ограничения. Подмена пути с UNC на локальный позволила успешно установить уязвимый драйвер принтера.

В итоге автор пришёл к выводу, что используемые меры защиты, такие как UNC Hardened Access и использование SMB для подключения, недостаточны для предотвращения MitM-атак (Man-in-the-Middle). Также выяснилось, что политика исключения драйверов, основанная на хэшах файлов, неэффективна, так как атакующие могут легко изменить файл, не нарушая его подпись.

Ключевой вывод исследования: настройка политики «Restrict Driver Installation To Administrators» является единственным надёжным способом защиты от эксплуатации конфигураций Point and Print. В будущем возможно, что новый режим Windows Protected Print (WPP) сможет решить проблему, однако пока что системным администраторам рекомендуется не отключать новые ограничения для установки драйверов принтеров, чтобы обеспечить защиту.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь