PrintNightmare: новые лазейки в защите Windows обнаружены экспертами

В последнее время обновленные уязвимости PrintNightmare снова стали поводом для беспокойства среди IT-специалистов. Несмотря на введение строгих политик безопасности Microsoft, таких как ограничение установки драйверов исключительно администраторами, использование подписанных драйверов и разрешение на установку только с авторизованных серверов, исследователи выявили способность злоумышленников обходить эти меры.

Основным методом атаки стал DNS-спуфинг, позволяющий подменить имя разрешенного сервера на атакующий, что приводит к установке вредоносных драйверов. Этот метод был тщательно проверен в лабораторных условиях, где подмена IP-адреса показала свою эффективность, несмотря на наличие шифрованного канала DCE/RPC и защиту от атак NTLM Relay.

Попытки укрепить защиту с помощью политики UNC Path Hardening, которая должна была ограничить доступ к сетевым путям, также не увенчались успехом. Используя методы обхода через удаленные вызовы процедур, злоумышленники смогли подменить сетевой путь и установить уязвимый драйвер.

Исследование подчеркнуло, что текущие меры безопасности, включая политики, основанные на хэшах файлов, не обеспечивают достаточной защиты от Man-in-the-Middle атак. Единственной эффективной мерой остается политика ограничения установки драйверов только для администраторов. В ожидании новых решений, таких как предложенный режим Windows Protected Print (WPP), системным администраторам рекомендуется с особой внимательностью относиться к настройкам безопасности и не отключать новые ограничения для установки драйверов принтеров.