Цивилизация
На прошлой неделе стало известно о критической уязвимости в одном из сервисов Windows — речь идет о диспетчере очереди печати (Windows Print Spooler). Этот баг позволяет осуществлять удаленное выполнение кода на взламываемом компьютере, то есть с его помощью кибермошенники могут получить доступ к любой системе, похитить данные или зашифровать их с целью получения выкупа.
Аналитики антивирусных компаний утверждают, что уязвимость уже активно эксплуатируется злоумышленниками, а значит пользователи Windows могут в любой момент подвергнуться массированной хакерской атаке.
Microsoft оперативно выпустила патч, но, как сообщает Ars Technica со ссылкой на ИБ-исследователей, он не смог справиться с устранением бага и угроза все еще сохраняется.
«Это самая сложная проблема за последнее время», — заявил старший аналитик уязвимостей в Координационном центре CERT Уилл Дорманн.
Помимо того, что патч не справился со своей прямой задачей, он еще и усугубил ситуацию — The Verge сообщает, что выпущенная «заплатка» сломала ряд принтеров, которые потеряли возможность печатать. Прежде всего это касается устройств бренда Zebra.
Microsoft уже уведомлена о проблеме и предложила всем пострадавшим отказаться от установки патча KB5004945 и переустановить принтер с правами администратора.
«Ошибка удаленного выполнения кода CVE-2021-34527 считается критической и имеет рейтинг 8,2 из 10 по шкале Common Vulnerability Scoring System (CVSS). Брешь в безопасности была сочтена настолько серьезной, что Microsoft решила выпустить уже второй безотлагательный патч вместо запланированного на 13 июля пакета исправлений, — сообщил «Газете.Ru» Виталий Земских, технический директор ESET в России и СНГ. — При этом специалисты по кибербезопасности уже отметили, что исправления от Microsoft не полностью устраняют проблемы. При определенных обстоятельствах, когда для параметра NoWarningNoElevationOnInstall установлено значение 1, ваша система остается уязвимой».
Первое, что должны сделать системные администраторы – отключить контроллер домена, чтобы отсечь возможность для злоумышленника авторизоваться на сервере и закрыть доступ к сетевым ресурсам, отметил Земских. При этом не стоит забывать, что
на волне ажиотажа вокруг бреши в диспетчере очереди печати spoolsv.exe наиболее изощренные и профессиональные хакеры планируют атаки с использованием других инструментов, на которые ответственные за информационную безопасность сейчас обращают меньше внимания.
«Поэтому я призываю не терять бдительность и не надеяться только на официальные обновления от Microsoft», — заключил эксперт.
Несмотря на то, что в некоторых источниках уже появились утверждения, что патч не полностью устраняет уязвимость, лучше его установить: такая защита лучше, чем никакая, считает Кристофер Бадд, эксперт по кибербезопасности Avast. Его коллега Ян Войтешек посоветовал временно отключить службу очереди печати, чтобы дополнительно обезопасить себя, если работа принтера в системе для вас непринципиальна.
