Otkriven veliki propust u Print Spooleru Windowsa,

Izašao update za Windows 7.

Rezultat u prilogu.

Klikom na link se dolazi do poruke na drugoj slici.

Džabe su krečili

Printanje dokumenata, a što je to?

Zbog njihovih suptilnih poruka sam se ja prebacio prije 3 godine na Linux.  Ima svojih mušica, ali većinu vremena ne žalim za sedmicom. A 100% vremena ne žalim za desetkom.

 Ja sam se prebacio davno, kad su počeli retroaktivno mijenjati validnost programskih certifikata. (U prvoj iteraciji trebala je naljepnica, u drugoj naljepnica i ambalaža, u trećoj naljepnica ambalaža i račun). Znam suca koji je sudio studente za nelegalno posjedovanje softvera, a tom istom sucu cijeli sud radi na nelegalnom softveru. Samo ja nikad nisam požalio prelazak, sve radi kako treba, a programa ima sasvim dovoljno (kako komercijalnih tako i slobodnih).

Windows je sam po sebi pun problema i rupa.

Ja se oko ovog printer primjera ne bi uopče opterečival, to je šipak u odnosu kakvu ogromnu štetu može napravit tipičan Ransomware.U odnosu na žuto, pa realno danas svi ostali Windows problemi ili napasnici izgledaju kao luk i voda.

Ja se držim staroga, ne popravljaj ako nije pokvareno ili "ne Updejtaj ispravne Windowse" pa nema frke.

https://forum.bug.hr/forum/topic/windows/windows-10-openito/215879.aspx?page=467&jumpto=6081452&sort=asc&view=flat

https://forum.bug.hr/forum/topic/windows/windows-10-problemi/228866.aspx?page=182&jumpto=6117844&sort=asc&view=flat

Koliko sam skužio, problem je praktički ograničen za lokalne mreže koje koriste domene. Pri tome, ako domain controller nije izložen internetu, opasnost postoji samo od lokalnih korisnika sposobnih da iskoriste propust.

Vjerujem da manje firme i kućni korisnici ako spajaju računala u LAN ona su dio radne grupe (workgroup) a ne domene, pa sad, kolika je vjerojatnost da će vam netko od kućnih korisnika htjeti i znati iskoristit propust u print spooler-u nekog lokalnog računala?

Ako se i brinete zbog toga, možete jednostavno onemogućit pristup spooler-u sa ostalih računala (mjenjanjem Group Policy postavki).

Ali eto, treba plašit ljude.

 Toplo preporučam Parallelse i podignut Windows 10 i upaliti Coherence mode. Pokrećeš windows appove kao da su mac. Radi brzo i stabilno.

 Valjda poddomene?

 Kolika je vjerojatnost da netko tome pristupa bežično, danas?

A wifi je bullet proof tehnologija, valjda?

Pa da, i pokupovat si još par printera, jednostavnije je. 
Ili u potpunosti onemogućiti - presttati koristiti kompjuter, sigurnije je i još jednostavnije.

 Neustrašivi majstore! 

@rambox:
(ransomware vs exploit) - jedno ne isključuje drugo, već se sinergijski nadopunjuje.
Zajedno sa drugim propustima: npr megapropustom za Exchange / Outlook server otkrivenim prije par mjeseci (i kojim su, verificirano, zaraženi stotine tisuća  računala prije otkrivanja), kao i ovim friško otkrivenim za Office dokumente koji očito postoji duže vrijeme.
https://www.timesofisrael.com/israel-researchers-find-four-security-flaws-in-microsoft-office-software/

Uostalom, US min. obrane već mjesecima kuburi s tim (i to nakon SolarWind megafaila), a ransomware epidemija naokolo empirijski dokazuje da se propusti i koriste za deploy ransomwarea.

Ono, zli Rusi i Kinezi su krivi...
Ne znam samo zašto im je Ministarstvo obrane razvrglo JEDI mega-ugovor (sa Microsoftom), pa baš im je dobro išlo... Putin & Xi će uložiti žalbu.

neznani napadaču, preuzmi kontrolu nad mojim pisačem odmah! hp-ovi driveri (2605 dtn) su toliko loši da ih možda popraviš, jer veću štetu (u odnosu na ono što oni čine u ispisu) učiniti ne možeš. 

Da! razlikujemo softverski propust od ljudskog faktora. Ako nisi to znao, ti okrivi obrazovni sustav. 

... 

Pričam o print spooler propustu, kakve veze ima SolarWinds s time.? 

Print spooler propust nebi bio zanimljiv da nije procurio exploit, prije par tjedan a. Jednostavno bi se potiho pokrpao taj bug, kao mnogi drugi. Bug (časopis) nije dobro pokrio ovu priču. Jer čitatelj se s pravom pita, pa što onda ako je izašla zakrpa. 

... 

A što se tiče SolarWinds, da, trebali bi neki proučiti, najbolje ovi u  obrazovanju , pa nek šire dalje, vidiš da još supply chain attack nije došao u naš riječnik, napad na lanac opskrbe, bi se trebao zvati. 

Google za taj pojam daje 182 rezultata od kojih su velika većina strani ali Google translate sajtovi. Notable exception:

https://zrakoplovstvo.narkive.hr/hXCFQVqx/mo-e-li-se-hakirati-boeing-777 gdje se spominje napad na lanac opskrbe

Što upućuje na to da je taj koncept još uvelike nepoznat u hrv. 

Svaki put kad je kakva vijest u vezi sa Windozima - 80% objava je kako je Linux bolji - pa evo i mojih 5min. - 

Udio PC OS na trgu -

73% Windows

15% OSX

2,6% Linux (za usporedbu je imao 2013 - 1,7%)

Logično gledano gdje se više isplati trošit vrijeme i resurse u traženju expoitov na Linuxu ali na Windowsima, ali iskreno vjerujete da bi ih bilo toliko manje da je situacija obrnuta? Dovoljno je pogledat samo stanje na Andorid platformi (baziran na linux kernelu) na kojoj exponencialno raste broj exploita svaku godinu.

Uostalom đabe ti si svi plusecv Linuxa ako se dan danas znaš zajebavat ne jednim distribucijama sat vremena za isntalirat jedan driver, za kojeg ti treba 1 klik na windowsima (neka ni to ako već imaju ugrađen driver) - dok ga ne naprave super user friendli i jednostavnog ostaju samo marginalci poput ekipe sa tehnoloških foruma koji će visit na njemu.

Zato jer jedno isključuje drugo. IF "domena" THEN nije "ograničen za lokalne mreže" :)

Sam odaberi.
Ili nije "domena" - jer domene se dodijeljuju preko domain servera i - imaju smisla samo kao javne, a ne lokalne...

Ili je pak riječ o pravoj domeni, a onda kakaš bezz - to znači da se "printeru" može prikopčati izvana i učiniti dernek.

Bit će da je o terminologiji riječ. Koliko ja znam, "lokalna domena" ima smisla kao i "drveno željezo".
Moguće je da je rvacki pravoriek i ovdje nešto zashrao.

Evo, sad sam pogledao - kakaš. Dakle, spooleru se može pristupiti preko RPC i SMB portova - znači ako si na internetu - potencijalno si ranjiv.
Te portove ne možeš samo tako zatvoriti jer ih Winsi interno koriste IIRC.
Tu ti je original
https://www.kb.cert.org/vuls/id/383432

evo i citat

access ... that allows ... a remote authenticated attacker to execute arbitrary code with SYSTEM privileges on a vulnerable system.

1. @domet: To ti je kao da kažeš "u mojoj ulici nema lopova pa ne zaključavam BMW".
Ako se isplati, netko će probati (a ova rupa sa spoolerom daje motivaciju).

2. NE.

a) "Provaliti šifru za wifi" - radije recimo "hakirati router", ali da. To je banalnije nego li misliš, sa Kali live ISOm ti dolaze već pripremljene skripte za brute force ownanje, a uz malo ciljaniju pretragu lako dođeš do popisa ranjivosti rutera i tu je stanje puno gore nego li npr sa sigurnošću Winsa.

Jednom sam to testirao s Kalijem (jer mi se netko šlepao na kućnu mrežu) i stvarno radi, u cca 20 min se priključiš nekome (ok, možda sam ja imao sreće).

Btw: nije do wifi šifre nego sigurnosnih nedostataka u protokolu.

b) account na računalu ownaš upravo preko spooler exploita - u tome i je fora.
Nisam doduše pročitao što se ovdje konkretno radi ali to je klasičan princip.
Dakle, ti remotely kao šalješ nešto za isprintati, a u stvari pokrećeš maliciozni kod koji radi ... ono gore. Sve, po želji.

Dakle zaključno, nije riječ o "sumljivim ukućanima".
A ne znam baš koliko printer uopće radi bez spoolinga (odn spooler servera).
No dobro, možeš printati stranicu po stranicu ;)

Ima s time što si rekao
"jednostavno bi se pokrpao a da nitko za to ni nezna" 

Za SolarWinds isto tako nitko nije znao (a postoji godinama kao i ovaj ptint spooler exploit!), i eto kako se jednostavno krpa bar preko pola godine - neuspješno).
Kao što sam kolegi napisao, NE MOŽEŠ "jednostavno" zatvoriti esencijalne portove - a to je za PrintNightmare praktički jedino riješenje, za sad.

Uostalom, koja ti je to ideja: ako nitko ne zna za to - onda ne postoji???
Ono, zabiješ glavu u pijesak ko noj, ili zažmiriš - i problema više nema???
Pa upravo zato je to i poprimilo globalne razmjere.

OVO:

 
Kakve veze ima to što mo mi predekistan, s time da robot skripte u stotinama tisuća dnevno ownaju kompove globalno, pa tek kasnije netko gleda ima'l tu ćeg što se može iskoristiti...
Pa ovo sa Exchange (Outlook) serverima zadnji put, target je bio USA a stotine tisuća su ownali po EU. Praktički, svaka budala koja je iz nekog razloga "lokalno" imala "Outllok server" ("da mu e-mail radi bolje"), praktički je ponudila passworde i brojeve kartica "nepoznatom u hrv".
Ne, nije to samo "dostupnost arhive e-maila" kako je bilo umanjivano, već mogućnost da ti npr fishingom uvale "provjereni e-mail" od banke za verifikaciju čega li već.
Ako su to uspjeli uraditi spram bar par EU banaka...
...koja je šansa da se naš Ante Necijepilić (ali sa Exchange serverom - a da ni ne zna što je i da ga ima, ali bilo je džabe) othrva takvoj fake korespodenciji???

Btw  koliko se sjećam, bar jedna od banaka je nakon tog morala i platiti otkupninu (znači opet ransomware).

Evo iz prve, friško (od prije 5 dana):
Hundreds of businesses, from Sweden to US, affected by cyberattack
https://www.straitstimes.com/world/europe/major-swedish-supermarket-chain-hit-by-cyber-attack

Zašto lokalna domena nema smisla? npr. localhost se često koristi kao domena, pa nije javna.

Evo, sad sam pogledao - kakaš. Dakle, spooleru se može pristupiti preko RPC i SMB portova - znači ako si na internetu - potencijalno si ranjiv.
Te portove ne možeš samo tako zatvoriti jer ih Winsi interno koriste IIRC.
Tu ti je original
https://www.kb.cert.org/vuls/id/383432

evo i citat

access ... that allows ... a remote authenticated attacker to execute arbitrary code with SYSTEM privileges on a vulnerable system.

Dakle, exploit zahtjeva account na računalu, kao što si sam citirao i kao što piše na https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527 , a na čemu temeljim svoju izjavu.

Znači tvoj argument je da je exploit opasan zato što je lako provaliti wi-fi šifre (što znam iz iskustva da se da provaliti, ali ovisi dosta o slučaju) i autorizaciju na win (što baš nisam siguran da se može lako provaliti s udaljenim pristupom)..

Ja možda kakam iz tvoje perspektive, ali iz moje ti zapravo sereš. Potencijalno si ranjiv na internetu uvijek, sa ili bez exploita, kao što si ranjiv kad izađeš na cestu.

Ja evo sigurno neću instalirati "fix", pa eto probaj slobodno provaliti na moje računalo. Da ti pomognem - koristim Win 7 Ultimate SP1. Poslije instalacije SP1 prije nekih 10 godina nisam instaliraio nijedan update.

Uz svu silu exploita koji su izašli u tih 10 godina, nitko mi do sada nije provalio u računalo, ali eto, ako je to tako lako kao što tvrdiš, ti ćeš sigurno uspjeti.

Upravo to, ali nije samo firewall na routeru problem za potencijalnog hakera. Problem je i dinamički IP koji smanjuje vremenski prozor za provalu - recimo da pokreneš nekakav brute force napad a usred toga se promijeni IP (ili netko ugasi računalo), da bi nastavio dalje treba ti novi IP a njega nećeš dobiti bez nekakvog lokalnog pristupa ili socijalnog inženjeringa (što opet podrazumijeva da znaš tko je vlasnik računala).

Botovi generalno, ili efektivno, ciljaju nezakrpane servere i uređaje koji koriste slabe ili default šifre te ranjive na one rijetke exploit-e koji ne zahtjevaju lokalni račun.

Sve ostalo ide socijalnim inženjeringom.

Ono što želim reći je da kućni korisnik praktički ne mora brinuti oko ovakvih exploit-a jer ako će mu netko provaliti u računalo to će gotovo 100% biti putem socijalnog inženjeringa. Što znači da su ovakve vijesti za takve samo plašenje i tjeranje na nekakve nadogradnje koje često donose nove probleme a nikako ih neće spasiti od socijalnog inženjeringa.

Bilo bi puno efektivnije da, ako se već nešto forsira, da se forsira edukacija a ne nadogradnja novim zakrpama i novim Windows-ima. Ali eto, nema novaca u edukaciji koliko ima u plašenju, krpanju i modernizaciji. Pa tako ispada da Microsoftu i sličnima trebaš i jedino možeš vjerovati, a bratu, komšiji ili pak samom sebi ne možeš.