​​Пока Администрация Президента США угрожает России предпринять жесткие меры в отношении акторов нашумевших кибератак, а специалисты Kaseya судорожно пытаются восстановить работу серверов VSA и SaaS, подвергшихся нападению REvil, мошенники уровнем пониже выкатили свои обновления для клиентов компании.

Malwarebytes обнаружили фишинговые письма, содержащие поддельные информационные сообщения Kaseya, в которых клиентам предлагается загрузить и выполнить вложение под названием SecurityUpdates.exe, чтобы устранить уязвимость в программном обеспечении VSA и защититься от программ-вымогателей.

На самом деле исполняемый файл Windows являлся пакетом Cobalt Strike, а сам образец письма также содержал прямую ссылку на вредоносный исполняемый файл.

К настоящему времени в свете этого потенциального риска безопасности компания отключила своих крикетов от услуг и официально отказалась от использования электронной почты для доставки обновлений. Возобновить работу Kaseya намерены в это в 16:00 по восточному времени.

Ждемс.

Традиционно об уязвимостях: Rapid7 обнаружили баги в продукте планирования ресурсов предприятия ERP Sage X3, включая недостатки, которые можно использовать удаленно без аутентификации для получения полного контроля над системой. Отметим, что больше тысячи средних и крупных организаций по всему миру используют Sage X3: поисковые запросы в Censys, например, выдаёт более 1800 результатов.

Из четырех выявленных исследователями уязвимостей CVE-2020-7387 - CVE-2020-7390 одна 7388 наиболее критическая: описывается как проблема с удаленным выполнением команд без аутентификации и связана со службой для удаленного управления Sage ERP через консоль Sage X3.

При этом применив CVE-2020-7387, которая представляет собой проблему раскрытия пути установки, злоумышленник может получить необходимую ему для реализации CVE-2020-7388: злоумышленник может сначала узнать путь установки уязвимого программного обеспечения, а затем использовать эту информацию для передачи команд в хост-систему для запуска. Два оставшихся недостатка были описаны как внедрение аутентифицированных команд ОС и постоянные проблемы межсайтового скриптинга XSS.

О дырах в системе безопасности поставщику сообщили ещё в феврале 2021 года, и в следующем месяце они были исправлены. В мае все клиенты были оповещены о наличии исправлений: Sage X3 Version 9 (Syracuse 9.22.7.2), Sage X3 HR & Payroll Version 9 (Syracuse 9.24.1.3), Sage X3 Version 11 (Syracuse 11.25.2.6) и Sage X3 Version 12 (Syracuse 12.10.2.8). Кроме того, исследователи рекомендуют работать с Sage X3 через VPN и настоятельно накатывать обновления.

Наш скептицизм оправдался: в минувшее воскресенье Kaseya так и не удалось перезапустить сервера SaaS, но определенные сподвижки наметились.

Выпущено обновление 9.5.7a (9.5.7.2994) с исправлением уязвимостей в Virtual System Administrator: CVE-2021-30116 (утечка учетных данных), CVE-2021-30119 (уязвимость межсайтового скриптинга) и CVE-2021-30120 (обход 2FA), которые, по предположению разработчика, использовались REvil в ходе нашумевшей атаки.

Технологический гигант отметил, что развертывание идет «по плану», 95%клиентов SaaS компании уже активны, а серверы «в ближайшие часы выйдут в сеть для остальных наших клиентов».

В целом, компания наконец-то отказалась от устаревших решений. Обновленный API теперь будет скрывать значение пароля: в прошлом исполнении некоторые ответы API содержали его хэш. Исправлена ошибка, связанная с использованием флага безопасности для пользовательского портала, устранены потенциальные возможности для несанкционированной загрузки файлов на сервер VSA.

Кроме того, клиентам компании перед началом инсталляции предлагается предварительно просканить свои системы с помощью Compromise Detection Tool для поиска возможно скомпрометированных agent.crt и agent.exe, а в ходе обновления ограничить доступ к веб-интерфейсу VSA.

Вся эта история с Kaseya - пример того, как многие годы руководство в погоне за выручкой и оптимизациями, долгое время не уделяла должного внимания наболевшим проблемам в сфере информационной безопасности, включая устаревший код, слабое шифрование и отсутствие надежных процедур установки исправлений. Так, по данным Bloomberg, в 2018 и 2019 хакеры уже использовали продукты Kaseya для развертывания ransomware.

На деле экономия оборачивается серьезными убытками.

​​От слов к делу: связанный с Агентством по кибербезопасности и безопасности инфраструктуры США Джек Кейбл, по совместительству - эксперт из компании Krebs Stamos Group, запустил сайт https://ransomwhe.re для публичного мониторинга финансовой активности операторов ransomware.

Мы уже упоминали, что в качестве приемов борьбы с вымогателями Администрация Байдена рассматривает экономическое и административное стимулирование отказов от выкупов у их жертв и оказались правы.

Открытый краудсорсинговый трекер платежей ransomwhe.re - формально частный проект, который аккумулирует подгружаемые пользователями данные о платежных реквизитах вымогателей и общедоступные сведения о транзакциях криптовалюты. Такой публичный банк данных, по мнению автора, позвонит раскрыть объемы рынка вымогателей и повлиять на поведение жертв.

Очень сомнительно, что в бункерах спецслужб таких данных еще нет, поэтому даже не сомневаемся, что самую посильную помощь в наполнении проекту окажут спецслужбы и связанные с ними инфосек-компании.

А в перспективе Ransomwhere может пригодиться и самому Байдену в переговорах с Россией, с территории которой, по мнению американцев, безнаказанно орудуют широкоизвестные хакеры. Во всяком случае ссылочками точно поделятся.

На наш взгляд, проект определено заслуживает внимания специалистов инфосека с точки зрения аналитики и реальной оценки исходящих от ransomware угроз.

Создатель бота «Глаз Бога» обвинил Telegram в незаконных действиях

После того, как Telegram удалил его канал более чем с миллионом подписчиков, он собирается выпустить собственную соцсеть и переманивать туда пользователей.

Сами пользователи, кстати, активно «клонируют» новых ботов так, что администрация Telegram не успевает их блокировать.

По словам создателя «Глаза Бога», администрация Telegram якобы сливает информацию «всем подряд», занимается коррупцией и тесно сотрудничает с Роскомнадзором.

В сеть слили базу персональных данных клиентов "Глаза Бога",содержащую ID пользователя в Телеграм, его телефон, имя и фамилию. База содержит 774 тысячи строк и описывается как база клиентов "глаза Бога",- Readovka.

Мы внимательно следим за реакцией американских властей на атаку банды вымогателей REvil на американского поставщика IT-услуг и производителя ПО Kaseya.

После поручений Разведсообществу США разобраться в ситуации Президент США на встрече с Путиным дал понять, что если российские власти не будут принимать меры против находящихся на территории страны киберпреступников, то США примут меры сами или оставят за собой право действовать по своему усмотрению.

Что бы это значило - неясно.

Но буквально на днях в ходе телефонного звонка Байден вновь обсудили с Путиным продолжающиеся атаки с использованием ransomware. Президент США призвал Россию остановить деятельность действующих на ее территории хакерских групп, по факту - озвучил последнее китайское предупреждение, сославшись на то, что они предпримут все необходимые действия для защиты своей критической инфраструктуры.

Однако Владимир Путин посетовал на то, что, несмотря на готовность российской стороны к силовым действиям, за последний месяц по линии спецслужб от США не поступало обращений по этим вопросам.

Еще большую пикантность ситуации придает состоявшееся вчера назначение Джен Истерли на пост директора Агентства по кибербезопасности и безопасности инфраструктуры (CISA).

До назначения Истерли работала специальным помощником президента и старшим директором по борьбе с терроризмом в АНБ. Ранее более 20 лет служила в армии США, отвечая за разведку и киберопераций, под ее началом было создан первый кибербатальон, а позже - Киберкомандование США.

Бэкграунд нового главы CISA говорит сам за себя. Тем не менее, как обычно выводов делать не будем - ждем.

​​Несмотря ни на что Positive Technologies не оставляют идею провести IPO. Сегодня Коммерсант сообщил, что компания провела неожиданную рокировку: вместо Юрия Максимова пост генерального директора занял специалист с техническим бэкграундом Денис Баранов, который займётся подготовкой к выводу на Московскую фондовую биржу. Максимов, в свою очередь, сосредоточится на визионерском управлении и стратегическом менеджменте.

Немного в сторону, но тоже по теме: в Лаборатории Касперского прошло внутреннее объявление об уходе директора по продажам и маркетингу Александра Моисеева и переподчинении его структуры директору по R&D Андрею Ефремову. Технари начинают рулить инфосек-бизнесом.

А к новости о Позитивах добавить и убавить практически нечего. Мы только выразим осторожную обеспокоенность их IPO-одержимостью, которая в сложившихся условиях может выйти компании горькими слезами: или громким провалом на выводе или слишком низкой ценой 10-процентного пакета, который предполагается выставить на продажу. Видимо кому-то из топ-менеджмента уж очень сильно хочется обкэшиться несмотря ни на что.

Почти нарицательная и до боли известная SolarWinds оперативно выпустила обновления безопасности, устраняющие CVE-2021-35211. Ошибка традиционно эффективно эксплуатировалась в дикой природе, пока специалисты Microsoft не начали бить тревогу.

Уязвимость представляет собой ошибку удаленного выполнения кода RCE в технологии передачи файлов Serv-U в версиях до 15.2.3 HF1 включительно, которую можно эксплуатировать через SSH для запуска вредоносного кода с повышенными привилегиями в приложениях SolarWinds. Ее реализация позволяет устанавливать программы, изменять или удалять данные или запускать программы в уязвимой системе. Технология Serv-U имеет ограниченное применение и задействовалась исключительно в продуктах Serv-U Managed File Transfer и Serv-U Secure FTP.

Сведения об инцидентах и жертвах атак не разглашаются. Microsoft лишь отметила потенциальную ограниченную целевую группу клиентов, которые могли пострадать от действий единственного обнаруженного актора. Ну ну.

​​Буквально вчера 👆мы предполагали, что новый инцидент с SolarWinds обещает быть весьма интересным. Так и получилось.

По-началу, обстоятельства инцидента оставались нераскрытыми, однако отъехать по-тихому, даже оперативно выпустив патч Serv-U (v15.2.3 HF2), SolarWinds не удалось. 

Под давлением инфосек-сообщества Microsoft заявили, что к серии атак с использованием CVE-2021-35211 была причастна китайская APT, именуемая DEV-0322.

Согласно отчету Microsoft телеметрия Defender зафиксировала аномальные вредоносные процессы, инициируемые приложением Serv-U, что в конечном итоге привело к расследованию и обнаружению серии продолжающихся атак.

Выдав в паблик подробный отчет, Microsoft не сообщили, на какие системы конкретно были направлены атаки. Но, предположить несложно, особенно зная, что в ходе предшествующих атак DEV-0322 были нацелены на компании в сфере ВПК США (DIB).

В общем, компании, использующие FTP-серверы Serv-U, могут защитить себя от возможных атак, установив патч компании или отключив SSH-доступ к серверу. Однако, принимая во внимание заявленный локальный характер инцидента и единственного актора, клиентам Serv-U за пределами DIB переживать сильно не стоит.

Но, мы по-прежнему в предвкушении нового геополитического скандала.

​​Сегодня взбудораженные поклонники инфосека пытаются понять, что же случилось на самом деле: сразу после телефонного разговора лидеров РФ и США веб-сайты и сервера банды вымогателей REvil странным образом закрылись.

По сведениям Аль Смита из Tor Project, записи DNS для доменов, используемых хакерами, были извлечены или внутренняя инфраструктура DNS была отключена, попросту - стёрта.

LockBit отметили на хакерском форуме XSS, что, по слухам, REvil стерли свои сервера после того, как узнали о претензиях к ним со стороны спецслужб. Согласно другим сведениям, исчезновение было вызвано запросами со стороны органов, в котором фигурировала используемая хакерами серверная инфраструктура. Сразу после этого аккаунт REvil на XSS также ушел в бан, при этом админы в даркнете традиционно блокируют своих пользователей в случае попадания их в разработку правоохранителями.

А вообще, мы подробно писали о том, что  происходит сейчас с Revil: вспомните ровно два возможных выхода из сложившейся с ransomware ситуации, ведь подобный порядок вещей сильные мира сего долго терпеть уже не в состоянии.

А для протокола конечно же найдутся где-то в Магадане или Ростове, или еще где парочка студентов с компами и жесткими, из которых вываливались бы исходники ransomware, а в придачу и постеры Anonymous.

А как вы хотели? Кина для взрослых не будет.

Немецкий разработчик SAP выпустил 12 исправлений безопасности, а также обновления для трех ранее выпущенных.

Наиболее важные из них касаются серьёзных уязвимостей в NetWeaver: CVE-2021-33671 (отсутствие проверки авторизации), CVE-2021-33670 (отказ в обслуживании).

Первый недостаток затрагивает управляемые  процедуры SAP NetWeaver (SAP GP) в компоненте Composite Application Framework (CAF), который обеспечивает доступ к серверным системам. Отсутствие авторизации было обнаружено в средстве централизованного администрирования для GP и могло привести к несанкционированному доступу и манипулированию данными.

Вторая уязвимость была связана с некорректной работой Java (http-service) в SAP NetWeaver AS и позволяла потенциальному злоумышленнику манипулировать HTTP-запросами, вызывая состояние отказа в обслуживании.

SAP также выпустила девять исправлений уязвимостей в CRM ABAP, NetWeaver AS ABAP и ABAP Platform, Lumira Server, Web Dispatcher и Internet Communication Manager, NetWeaver AS для Java (Enterprise Portal), Business Objects Web Intelligence (BI Launchpad) и 3D Visual Enterprise Viewer.

Кроме того, компания выпустила обновления для Hot News: одно из них касается браузера Chromium в SAP Business Client, а другое - NetWeaver ABAP Server и ABAP Platform.

Исправлена уязвимость XML External Entity (XXE) в интеграции процессов SAP (ESR Java Mappings).

​​Отличился не только SAP, отметился и Microsoft своим эпическим патчем, включающим исправления в общей сложности 117 уязвимостей безопасности, включая 9 ошибок нулевого дня, которые эксплуатируются в дикой природе.

В общем расклад такой: 13 имеют рейтинг критических, 103 - важных, а 1 - средней степени серьезности.

Обновления охватывают Windows, Bing, Dynamics, Exchange Server, Office, Scripting Engine, Windows DNS и Visual Studio Code.

Под закаточный конвейер разработчиков конечно же попал проблемный диспетчер очереди печати (CVE-2021-34527), уязвимости ядра Windows, связанные с повышением привилегий (CVE-2021-31979 и 33771), косяки модуля сценариев, приводящие к повреждению памяти (CVE-2021-34448).

Исправленные уязвимостей нулевого дня также затрагивают: Microsoft Exchange Server (CVE-2021-34473 - удаленное выполнение кода и CVE-2021-34523 - повышение привилегий), Active Directory (CVE-2021-33781 - обход функций безопасности), Windows ADFS (CVE-2021-33779 - аналогично), Windows (CVE-2021-34492 - подделка сертификатов и CVE-2021-34458 - удаленное выполнение кода), Windows DNS Server (CVE-2021-34494 - удаленное выполнение кода).

Кроме того, Microsoft также устранила уязвимость обхода безопасности в биометрической аутентификации Windows hello (CVE-2021-34466), которая позволяла подделать лицо и получить доступ в систему.

MSFT в целом уже близки в тому состоянию, когда количество трансформируется в качество: в мае и июне они закрыли 55 и 50 дыр соответственно. Но, что-то зная мелкомягких, думает, что им ещё долго вести бой в тенью.

Обновлением могут похвастаться и владельцы вредоносного ПО BIOPASS, новые функции которого обнаружили спецы из Trend Micro.

Они установили, что с виду обычный троян удаленного доступа (RAT) на Python обладает совершенно новой функцией, которой нет ни в одной другой вредоносной программе: он реализует потоковую передачу видео с экранов жертв. Функция реализована благодаря применению OBS Studio RTMP (протокол обмена сообщениями в реальном времени) для записи экрана пользователя и трансляции его на панель управления злоумышленника.

Он был замечен в ходе расследования атак китайские сайты, связанные с азартными играми. RAT маскировался под дистрибутивы Adobe Flash Player или Microsoft Silverlight, которые все еще юзаются в Китае, несмотря на то, что срок их службы истек. Распространялись заражённые установщики через вредоносный JavaScript на страницах технической поддержки игровых ресурсов. 

Несмотря на отсутствие официальной атрибуции Trend Micro заявила, что к атакам с использованием BIOPASS причастна китайская Winnti или APT41, что соответствует ее почерку. Как известно помимо кибершпионажа в сферу интересов хакеров также входили игровые онлайн-компании по всей Юго-Восточной Азии.

Согласно исследованию Trend Micro значительная часть функций BIOPASS была заточена под местные китайские организации. Вероятно, APT41 задействовалась кураторами для решения внутренних задач, связанных с получением личных данных пользователей популярных веб-браузеров и мессенджеров, используемых обычно в материковом Китае.

Панику среди своих клиентов наводит SonicWall, распространяя срочное сообщение о готовящейся атаках ransomware с использованием украденных учетных данных.

Разработчик рекомендовал немедленно отключить от сети Secure Mobile Access (SMA) серии 100 и Secure Remote Access (SRA) с  устаревшей прошивкой 8.x. Для более глубокого внушения клиентам были даже разосланы персональные email.

Решение действовать на упреждение руководством SonicWall было принято после консультаций Mandiant и другими авторитетными ребятами.

Эксплуатация нацелена на известную уязвимость, которая была исправлена в более новых версиях микропрограммы. Так, в прицел хакеров попали: SRA 4600/1600 (EOL 2019), SRA 4200/1200 (EOL 2016) или SSL-VPN200/2000/400 (EOL 2013/2014). Им в безальтернативном формате рекомендуется обновиться до последней доступной прошивки и сменить пароли.

При этом если устройство не поддерживает обновление до прошивки 9.x, то дальнейшее использование невозможно и неизбежно, по мнению SonicWall, приведёт к целенаправленной атаке вымогателей. В этой ситуации разработчик готов предоставить бесплатный виртуальный SMA 500v до 31 октября 2021 года.

Компания не раскрывает актора и характера имеющихся у них сведений о деятельности вымогателей.

Но две недели об уязвимости в Network Security Manager представителям SonicWall сообщали Positive Technologies, в июне критические ошибки в SonicWall Network Security Appliance (NSA) выявили Tripwire.

Кроме того, ранее в этом году исследователи из команды NCC Group вскрыли инциденты с применением программ-вымогателей FiveHands, а FireEye - с использованием и SOMBRAT.

Воодушевляет представителей SonicWall лишь незначительное число неисправленных устройств. Как бы ни было - любая атака в последнее время лишь усиливает общее напряжение, вызванное ransomware.

Четко отработали испанские силовики, которым удалось отследить и арестовать 16 подозреваемых, причастных к отмыванию похищенных с использованием банковских троянов Mekotio и Grandoreiro денежных средств. 

Четкости им добавляет и тот факт, что это их вторая крупная операция после задержания в марте 4 подозреваемых за распространение банковского трояна FluBot Android.

Операция под руководством Guardia Civil с кодовым наименованием Aguas Vivas (Живые воды) завершилась следственными действиями сразу после залива очередного транша в 3,5 миллионов евро.

В ходе облав у подозреваемых была изъята техника и документы, следы на которых подтверждали, что банде удалось украсть более 276 470 евро с банковских счетов, скомпрометированных с помощью вредоноса.

Преступники действовали в составе хорошо структурированной и иерархичной группы, выполняя фактически функции обнала. Для вывода краденной валюты они переводили их на подставные счета, снимая их в последующем наличными в банкоматах, переводами по картам BIZUM, REVOLUT и др.

По мнению специалистов ESET и Kaspersky, успешная реализация испанских силовиков свидетельствует о серьёзной недооценки угроз, исходящих от хакерских групп, причастных к распространению Mekotio и Grandoreiro.

Считается, что штаммы являются работой бразильских групп, которые предоставляют софт другим бандам, реализующим их распространение и отмывание похищенных средств. Сам malware представляет собой классический банковский троян под Windows, который распространяется посредством спуфинга электронной почты. ВПО заточено под сбор учётных данных более чем 30 различных банковских проломам и сервисов. После вывода денег со счета злоумышленники блокировали работу компьютеров.

О перепрофилировании вредоносного ПО под европейский банковский сектор в начале 2020 предупреждали в Лаборатории Касперского, чьи выводы также поддержала ESET по результатам своих исследований. При этом наибольший ущерб бал нанесён именно пользователям из Испании.

Будем надеяться, что добытые в ходе Aguas Vivas позволят испанским силовикам выйти и обезвредить операторов вредоносного ПО, ну а пока пожелаем быть не менее последовательными и чёткими.

​​🔥Эксперты опубликовали прогнозы рынка модели Zero Trust на 2021-2028 годы.
🔥Размер глобального рынка решений кибербезопасности, использующих модель Zero Trust (модель безопасности с нулевым доверием), был оценен в 19,8 млрд долларов США в 2020 году, и ожидается, что совокупный годовой темп роста (CAGR) составит 15,2% с 2021 по 2028 год.
🔥Пандемия коронавирусной инфекции (COVID-19) помогла предприятиям осознать важность концепции нулевого доверия для защиты своих важнейших данных. Сфера информационной безопасности радикально изменилась — сотрудники теперь работают удаленно, используя уязвимую сетевую инфраструктуру.
🔥Внедрение подхода безопасности с нулевым доверием гарантирует, что только авторизованные лица имеют определенный уровень доступа

​​Не знаешь куда пристроить свою старую PS4? А вот предприимчивые украинские геймеры построили крупнейшую подпольную майнинг-ферму в стране.

На днях тысячи PS4 были конфискованы, а их владельцы арестованы СБУ за незаконную добычу крипты.

В реальности обвинения были предъявлены за кражу электричества. Сама ферма располагалась в промышленной зоне города Винницы, на территории заброшенного склада, который когда-то принадлежал АО «Винницаоблэнерго».

В общей сложности на металлических стойках было смонтировано около 3800 игровых консолей, а также было найдено более 500 видеокарт и 50 процессоров. По данным силовиков, ущерб от украденной электроэнергии составил от 186 200 до 259 300 долларов в месяц. Однако в коммунальной компании заявили, что никакими доказательствами кражи электроэнергии не располагают.

Судя по всему, урожайные площади перешли в руки новых более способных фермеров.

Под конец недели подведем небольшие итоги и поделимся, пожалуй, важными результатами латания дыр и устранения багов вендорами-тяжеловесами:

- 12,7% всех сайтов сети Интернет удалось спасти команде Cloudflare от возможной компрометации благодаря устранению критической уязвимости в бесплатном CDNJS с открытым исходным кодом. Он обслуживает миллионы веб-сайтов с более чем 4000 библиотек JavaScript и CSS, публично хранящихся на GitHub. Эксплойты уязвимости включали публикацию пакетов в CDNJS Cloudflare с использованием GitHub и npm для активации уязвимости обхода пути и, в конечном итоге, удаленного выполнения кода. В случае эксплуатации уязвимость могла бы привести к полной компрометации инфраструктуры CDNJS.

- В популярных плагинах WooCommerce и WooCommerce Blocks компании Automattic, предназначенном для WordPress, была устранена критическая ошибка. До момента выпуска патча уязвимыми оставались более 5 миллионов сайтов. Оба плагина получили обновление до версии 5.5.1. Исправление устраняет недостаток в двух файлах PHP, которые позволяли внедрять вредоносный код в операторы SQL без необходимости аутентификации. Злоумышленник, воспользовавшись этой уязвимостью SQL-инъекции, может получить информацию о магазине, административные данные, а также данные о заказах и клиентах.

- Разработчик популярного проекта программно-определяемого радио KiwiSDR удалил бэкдор, дающий root-доступ к радиоустройствам. SDR предназначены для замены аппаратного обеспечения радиочастотной RF связи программным или встроенным программным обеспечением для выполнения операций по обработке сигналов, для которых обычно требуются аппаратные устройства. По признанию автора, бага присутствовала во всех версиях устройств для обеспечения удаленного администрирования и отладки. Несмотря на то, что устройства KiwiSDR в основном действуют как радиоприемники, стоит отметить, что вход в систему с использованием жестко запрограммированного мастер-пароля дает доступ на уровне root к консоли устройства (на базе Linux), что позволяет злоумышленникам проникнуть в устройства, захватить их и начать обход соседних сетей, к которым они подключены.

Как мы и предсказывали в этом деле 👆аутсайдерами остаются Microsoft, вынужденные исправлять и переисправлять косяки диспетчера очереди печати Windows.

В дополнение к многострадальному PrintNightmare исследователем Бенджамином Делпи, создателем Mimikatz, обнаружена еще одна бага, обусловленная отсутствием проверки разрешений при установке драйверов печати, позволяющей накатывать вредонос для удаленного выполнения кода или локального повышения привилегий в уязвимых системах.

Новый локальный метод повышения привилегий эффективен при применении мер защиты: не спасет даже недавнее обновление безопасности KB5004945 (которое и само по себе, как оказалось, дырявое и вовсе не спасает от PrintNightmare). Он основан на стандартных процедурах Windows, позволяющих администратору устанавливать любые драйвера принтера (даже те, которые могут быть заведомо вредоносными), а пользователю без прав админа - устанавливать на свои устройства подписанные драйвера.

Таким образом, злоумышленнику для успешной эксплуатации баги достаточно создать вредоносный драйвер печати и подписать его с помощью доверенного сертификата Authenticode. Получив подписанный пакет драйвера, установить его на любое другое сетевое устройство, на которое у него есть права администратора. А затем использовать это «поворотное» устройство для получения привилегий SYSTEM на других устройствах, где у них нет повышенных привилегий, просто установив вредоносный драйвер.

Вы скажете не баг, а фитча: но для Microsoft - это скорее всего судьба.