Компания Microsoft выпустила исправление для CVE-2022-41073, уязвимости в Windows Print Spooler в службе printfilterpipelinesvc[.]exe. Злоумышленники могут использовать эту уязвимость для произвольной загрузки DLL и достижения локального повышения привилегий.
Начиная с октября 2022 года, Microsoft выявила эксплойт нулевого дня, включенный в многочисленные цепочки атак, обычно приводящих к созданию программ с выкупом. Идентифицированные атаки с использованием эксплойта включают атаки, вызванные первоначальными заражениями Raspberry Robin, Qakbot и FakeUpdates.
Microsoft выпустила обновления безопасности для всех поддерживаемых платформ. Учитывая текущую картину угроз, мы рекомендуем установить эти обновления как можно скорее. Microsoft Defender for Endpoint обнаруживает активность, связанную с CVE-2022-41073, с помощью предупреждения Potential Elevation of Privilege using Print Filter Pipeline service.
Анализ
Уязвимость локального повышения привилегий существует в службе Windows Print Filter Pipeline service printfilterpipelinesvc.exe. Эта уязвимость может быть использована для загрузки вредоносной библиотеки DLL и получения привилегий SYSTEM.
Уязвимость существует в спулере печати, который присутствует и установлен по умолчанию на всех версиях Windows, включая роль контроллера домена. Злоумышленник, имеющий или получивший возможность запуска кода в целевой сети и успешно эксплуатирующий уязвимость, может инициировать произвольный код с привилегиями SYSTEM на целевой системе. При атаке на контроллер домена злоумышленник может использовать скомпрометированную учетную запись, не являющуюся администратором, для выполнения действий на контроллере домена от имени SYSTEM. Это функционально означает, что любой злоумышленник, вошедший в сеть, может мгновенно повысить привилегии до администратора домена, украсть все учетные данные домена и распространять дальнейшее вредоносное ПО в качестве администратора домена.
Активная эксплуатация
В атаках, направленных на эту уязвимость в дикой природе, злоумышленники сначала получали доступ к сетям с вредоносной полезной нагрузкой до развертывания эксплойта для локального повышения привилегий, поскольку для использования уязвимости злоумышленнику необходим доступ к целевой системе.
По состоянию на 8 ноября 2022 года, многочисленные злоумышленники использовали эксплойт в ограниченных атаках до раскрытия уязвимости и исправления безопасности. Microsoft выявила доставку эксплойта после первоначального доступа с помощью Raspberry Robin, Qakbot и FakeUpdates.
Важно отметить, что применение исправления безопасности не устраняет исполняемый код, доставленный с использованием этой уязвимости до появления исправления. Потребуется надлежащее исправление имплантата и полезной нагрузки первоначального доступа.