Перейти к содержанию

PrintNightmare (CVE-2021-34527) – уязвимость в диспетчере печати

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

В конце июня исследователи по безопасности начали активно обсуждать уязвимость в диспетчере очереди печати Windows (Print Spooler), получившую название PrintNightmare. Изначально предполагалось, что июньский патч от Microsoft, вышедший в очередной вторник патчей, избавляет от этой проблемы. Однако сейчас стало очевидно, что на самом деле речь идет о двух уязвимостях — CVE-2021-1675 и CVE-2021-34527, и заплатка помогает только против первой. При этом потенциально злоумышленники могут использовать их для захвата контроля над любым сервером или компьютером на базе Windows, поскольку диспетчер очереди печати включен по умолчанию на всех системах. Microsoft официально относит название PrintNightmare только ко второй уязвимости, но во многих источниках обе проходят под одним кодовым именем.

Впрочем, есть и хорошие новости: наши эксперты внимательно изучили уязвимости и убедились, что теперь защитные продукты «Лаборатории Касперского» успешно выявляют попытки эксплуатации этих уязвимостей и защищают от них — в частности, благодаря технологиям предотвращения эксплуатации уязвимостей и защиты на основе анализа поведения.

Почему уязвимость PrintNightmare особенно опасна

Тут играют роль два фактора. Во-первых, как уже отмечено выше, сервис Windows Print Spooler по умолчанию включен на всех Windows-системах. В том числе, например, на контроллерах доменов и на машинах с правами администраторов системы.

Во-вторых, из-за недопонимания между несколькими командами исследователей и, похоже, в целом по случайности в сети были опубликованы материалы, демонстрирующие возможность эксплуатации PrintNightmare (proof of concept). Исследователи были уверены, что проблема уже решена июньским патчем, — и поспешили поделиться своим исследованием с сообществом экспертов. Но выяснилось, что, несмотря на обновление, эксплойт все еще представляет опасность, поскольку уязвимостей оказалось не одна, а две. PoC незамедлительно удалили, но многие успели с ними ознакомиться. Вероятно, среди этих многих были и злоумышленники. Так что эксперты «Лаборатории Касперского» предвидят рост попыток эксплуатации PrintNightmare.

 

View the full article

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Стилер Stealka ворует аккаунты и криптовалюту, маскируясь под пиратское ПО | Блог Касперского
      Автор KL FC Bot
      В ноябре 2025 года эксперты «Лаборатории Касперского» обнаружили новый стилер Stealka, который ворует данные у пользователей Windows. Злоумышленники используют его для кражи учетных записей и криптовалюты, а также для установки майнера на устройстве жертвы. Чаще всего инфостилер маскируется под кряки, читы и моды для игр.
      Рассказываем, как злоумышленники распространяют стилер и как от него защититься.
      Как распространяется Stealka
      Стилер — это вредонос, который крадет конфиденциальную информацию с устройства жертвы и отправляет ее на сервер злоумышленников. В основном Stealka распространяют на популярных ресурсах — вроде GitHub, SourceForge, Softpedia, sites.google.com и других — под видом кряков известных программ, читов и модов для игр. Чтобы вредонос начал работать, пользователь должен самостоятельно запустить файл.
      Вот, например, опубликованный на SourceForge вредоносный мод для Roblox.
      SourceForge — легитимный сайт, на котором злоумышленники выложили мод со Stealka внутри
       
      View the full article
    • KL FC Bot
      ForumTroll охотится на политологов | Блог Касперского
      Автор KL FC Bot
      Наши эксперты из команды GReAT обнаружили и исследовали новую волну целевых рассылок за авторством APT-группы «Форумный тролль». Причем если раньше их вредоносные письма отправлялись на публичные адреса организаций, то теперь в качестве получателей злоумышленники выбрали конкретных людей — ученых из российских университетов и других научных организаций, специализирующихся на политологии, международных отношениях и мировой экономике. Целью рассылки было заражение компьютеров жертвы зловредом, обеспечивающим удаленный доступ к устройству.
      Как выглядит вредоносное письмо
      Письма злоумышленники отправляли с адреса support@e-library{.}wiki, имитирующего адрес научной электронной библиотеки eLibrary (ее реальный домен — elibrary.ru). Внутри содержались персонализированные ссылки, по которым жертве предлагали скачать отчет о проверке какого-то материала на плагиат, что, по замыслу атакующих, должно было заинтересовать ученых.
      В реальности по ссылке скачивался архив, размещенный на том же домене e-library{.}wiki. Внутри находился вредоносный ярлык и директория .Thumbs с какими-то изображениями, которые, по всей видимости, были нужны для обхода защитных технологий. В названии архива и вредоносного ярлыка использовались фамилия, имя и отчество жертвы.
      В случае если жертва испытывала сомнения в легитимности письма и заходила на страницу e-library{.}wiki, ей показывали несколько устаревшую копию настоящего сайта.
       
      View the full article
    • KL FC Bot
      Куда попадают украденные данные после фишинговой атаки | Блог Касперского
      Автор KL FC Bot
      Загадка: пользователь зашел на мошеннический сайт, решил оформить покупку и ввел данные банковской карты, имя и адрес. Что произошло дальше? Если вы думаете, что злоумышленники просто сняли деньги и исчезли — вы ошибаетесь. Увы, все гораздо сложнее. На самом деле украденная информация попадает на гигантский конвейер теневого рынка, где данные жертв циркулируют годами, переходя из рук в руки, и повторно используются для новых атак.
      Мы в «Лаборатории Касперского» изучили, какой путь проходят данные после фишинговой атаки: кому они достаются, как их сортируют, перепродают и используют на теневом рынке. В этом материале мы покажем маршрут похищенных данных и расскажем, как защититься, если вы уже столкнулись с фишингом или хотите избежать его в будущем. Подробный отчет с техническими деталями читайте в блоге Securelist.
      Сбор данных
      Фишинговые сайты тщательно маскируются под настоящие: иногда дизайн, интерфейс и даже домен практически неотличимы от оригинала. Чаще всего злоумышленники используют для кражи данных HTML-формы, в которых пользователю предлагают ввести логин и пароль, реквизиты карты или другую конфиденциальную информацию.
      Как только пользователь нажимает кнопку «Войти» или «Оплатить», информация мгновенно уходит к мошенникам. Иногда данные собирают не напрямую через сайт, а через легитимные сервисы вроде Google Forms, чтобы скрыть конечный сервер.
      Поддельный сайт DHL. Пользователя просят ввести логин и пароль от настоящего аккаунта DHL
       
      View the full article
    • KL FC Bot
      Фишинг в мини-приложениях Telegram: как не попасться на удочку мошенников | Блог Касперского
      Автор KL FC Bot
      Признайтесь: вы давно хотели приобщиться к новому воплощению NFT — подаркам в Telegram — но все как-то не доходили руки. Тема на хайпе — разработчики активно плодят изображения в партнерстве, например, с рэпером Снуп Доггом и другими знаменитостями. У всех друзей профили уже пестрят новомодными картинками, и вам тоже жутко хочется запрыгнуть в этот хайп-трейн «любой ценой, но бесплатно».
      И вдруг вам приходит щедрое предложение от незнакомца — получить парочку подобных подарков без капиталовложений. Выглядящий совсем как официальный бот устраивает airdrop — это такой аттракцион неслыханной щедрости в мире NFT, когда небольшое количество новых криптоактивов бесплатно раздается сообществу в рамках промоакции. Термин перекочевал в Telegram ввиду криптоприроды этих подарков и NFT-механики «под капотом».
      Ограничить время акции — любимый прием маркетологов… и мошенников
       
      View the full article
    • KL FC Bot
      Взлом 120 000 IP-камер в Южной Корее: советы по безопасности | Блог Касперского
      Автор KL FC Bot
      Правоохранительные органы Южной Кореи арестовали четырех подозреваемых во взломе 120 000 IP-камер, установленных как в частных домах, так и в коммерческих помещениях — например, в комнатах караоке, студии пилатеса и гинекологической клинике. Полученные с камер записи сексуального характера двое из взломщиков продавали через зарубежный сайт для взрослых. Объясняем, что представляют собой IP-камеры и в чем состоят их уязвимости, а также подробно рассказываем об инциденте в Южной Корее и о том, как не стать жертвой злоумышленников, охотящихся за горячими видео.
      Как работают IP-камеры?
      IP-камера — это видеокамера, подключенная к Интернету по протоколу IP (Internet Protocol), которая позволяет просматривать изображение с нее удаленно через смартфон или компьютер. В отличие от классических систем видеонаблюдения CCTV, таким камерам не нужен какой-то локальный «центр наблюдения», как в фильмах, или даже простой компьютер, к которому бы они были подключены. IP-камера сразу передает видеопоток в реальном времени на любое устройство, подключившееся к ней через Интернет. Помимо этого, производители большинства современных IP-камер, как правило, дают возможность приобрести некоторый объем в облачном хранилище и просматривать архив видеосъемки из любой точки мира.
      В последние годы IP-камеры стали особенно популярны и используются в самых разных помещениях и для разных задач — от домашнего видеонаблюдения за детьми и питомцами до обеспечения безопасности складов, офисов, квартир с посуточной арендой (хоть это часто и незаконно) и небольших бизнесов. Самые простые варианты IP-камер можно купить онлайн за 2–3 тысячи рублей.
      Бюджетная IP-камера с Full HD на маркетплейсе стоит меньше 2000 рублей — доступность делает такие устройства крайне популярными для дома и малого бизнеса
       
      View the full article
×
×
  • Создать...