Новый виток в противостоянии злоумышленников и Microsoft.
Недавно опубликованное руководство по группе уязвимостей PrintNightmare вызвало дискуссии о том, как можно обойти ограничения Point and Print (PnP), предложенные в статье. Автор решил не просто обновить пост, а провести дополнительное исследование и найти более эффективные способы защиты от эксплуатации PnP.
Начальные условия заключались в следующем:
Однако, несмотря на такие настройки, выяснилось, что можно обойти защиту с помощью атаки DNS-спуфинга, подменив имя разрешённого сервера на атакующий.
Автор проверил метод в лабораторных условиях, подменив IP-адрес на адрес сервера злоумышленника, что привело к ошибке, связанной с неправильным именем принтера. Анализ с помощью Wireshark показал, что взаимодействие клиента с сервером происходит через зашифрованный канал DCE/RPC, защищённый от атак NTLM Relay.
Даже после установки политики UNC Path Hardening, которая ограничивает доступ к сетевым путям, удалось обойти защиту. В ответ на вызовы удалённых процедур через DCE/RPC сервер возвращал неверный сетевой путь, что позволяло обойти ограничения. Подмена пути с UNC на локальный позволила успешно установить уязвимый драйвер принтера.
В итоге автор пришёл к выводу, что используемые меры защиты, такие как UNC Hardened Access и использование SMB для подключения, недостаточны для предотвращения MitM-атак (Man-in-the-Middle). Также выяснилось, что политика исключения драйверов, основанная на хэшах файлов, неэффективна, так как атакующие могут легко изменить файл, не нарушая его подпись.
Ключевой вывод исследования: настройка политики «Restrict Driver Installation To Administrators» является единственным надёжным способом защиты от эксплуатации конфигураций Point and Print. В будущем возможно, что новый режим Windows Protected Print (WPP) сможет решить проблему, однако пока что системным администраторам рекомендуется не отключать новые ограничения для установки драйверов принтеров, чтобы обеспечить защиту.
Спойлер: мы раскрываем их любимые трюки