A PrintNightmare, horor saga u najavi

S vremena na vreme okupe se IT administratori oko neke aktuelne teme kao oko logorske vatre. Razmenjuju iskustva, traže odgovore na goruća pitanja, sastaju se po forumima, preko Teams-a, u komentarima na news portalima, razmenjuju informacije mejlom i telefonom… Ta okupljanja sve su češća, a najčešća tema je bezbednost.

Pandemije u modi

Paralelno sa Koronom, najistaknutije sajber pretnje u poslednjih godina i po dana dostižu težinu globalnih kriza. SolarWinds je protresao temelje poverenja u opšteprisutne softverske vendore i njihove aplikacije. U ciljanom i maestralno sprovedenom napadu kroz nadogradnju SolarWinds Orion softvera za monitoring i upravljanje mrežnim resursima, napadač je ostvario pristup svakoj mreži koja koristi ovaj softver. Nastradale su mnoge privatne i državne institucije po svetu, uključujući i sam Microsoft. Celokupan kôd Windows-a 10 procureo je na crno tržište gde je prodat za tričavih 750.000 dolara. Posledice toga da sajberkriminal sada ima pristup izvornom kôdu najkorišćenijeg operativnog sistema na planeti naslutite sami.

Hafnium i sve što je iz njega proizašlo poteralo mnoge kompanije na Exchange online. U prvim mesecima 2021. nijedan lokalni Exchange server nije bio siguran. Upozorenje na čitav set lančanih i veoma opasnih ranjivosti stiglo je krajem 2020., a na odgovor se čekalo tri meseca. U međuvremenu je kompromitovano na desetine hiljada Exchange servera, a napadači su pored pristupa osetljivim informacijama ostavili i otvorena vrata (webshells) za buduće, tzv. post-compromise napade. Hijene su namirisale krv i incident je prerastao u horor sagu gde se niko normalan ne raduje novom naslovu.

U poslednjih par meseci nastupilo je koliko-toliko zatišje, al ne lezi vraže, svinje hranu traže…

Kada štampanje postane opasna rabota

Vezivanje pretnje za regularan Windows servis nije novost u svetu malvera. Da bi infekcija mogla da pristupi resursima računara (disk, memorija, fajl sistem) i izvrši svoju zlu nameru, mora da ima dozvolu za to, tj. odgovarajuće privilegije. Odbrambeni mehanizam Windowsa će sprečiti izvršavanje svake aplikacije koja nema potrebne privilegije i tu napadač nailazi na prvu veliku prepreku. Jedno od rešenja je da se pretnja infiltrira uz neki redovan Windows servis koji po svojoj ulozi mora da ima sistemska prava (čitaj sve i svja), i tu nastaju problemi. Redovni servisi su najčešće neophodni za rad sistema, pa ih ne možete naprosto ugasiti dok se problem ne reši. U tom trenutku na scenu stupa antivirusno rešenje koje detektuje i uklanja pretnju, a redovan servis nastavlja sa radom. Sve kul, problem rešen.

Ali, šta ako se u Windowsu razotkrije neki servis koji sa sobom nosi ranjivosti za koje se nije znalo decenijama unazad i koje omogućavaju daljinsko upravljanje računarom i izvršavanje Bog te pita čega pod sistemskim pravima? Dodatno, šta ako je taj servis, recimo, aktivan na svakom Windows-u sa kojeg se nešto štampa? I, šta ako tu klasična antivirusna zaštita ne može da pomogne jer njena uloga nije da krpi ozonske rupe, već da eliminiše pretnje? I šta ćemo sa onim hijenama koje reže u daljini?

Prvo pitanje naših korisnika je bilo – da li ESET ima rešenje za ovaj problem? Imali smo polovičan odgovor – da, ali samo ako imate ESET Enterprise Inspector. Sa njim možete da kreirate pravilo koji će sprečiti neočekivano ponašanje Print Spooler servisa. Ali, EEI slabo ko ima. S druge strane, ESET Endpoint zaštita može da spreči napade koji dolaze kroz ranjivost, ali ne i samu ranjivost. To je zadatak proizvođača operativnog sistema. Da budem slikovitiji – ako u zidinama tvrđave imate rupu kroz koju boing može da prođe, ne vrede vam svi rodovi vojske zajedno, napadaće vas dok ne pokleknete… Na adminima je ostalo da Spooler servis privremeno onemoguće na mašinama gde štampa nije neophodna i da se uzdaju u ESET zaštitu dok Microsoft ne izda zakrpu.

Još jedna horor saga u najavi…

Arhaični servisi i tehnologije nastale pre više decenija, poput mejla i štampe, nisu pravljene sa današnjim sajber-bezbednosnim standardima na umu. Ko je pre 40+ godina mogao da pomisli da će neko sa Print Spooler-om hteti da pokori svet? Ti servisi su zaostali i imaju brojna ograničenja, ali su toliko rasprostranjeni da jedino preostaje se krpe i postepeno unapređuju kako bi ostali kompatibilni sa milijardama uređaja na planeti. Imajte to na umu kad napenalite Microsoft kako još uvek nije izdao funkcionalnu zakrpu za ovaj problem. Jeste neku, pa je povukao, pa izdao novu, pomalo bagovitu, ali napad i pored nje može da se provuče.. Dok Microsoft rešava zakrpu, ESET ne sedi skrštenih ruku, pa je za svoje korisnike kreirao uputstvo kojeg se valja pridržavati. Ne morate imati EEI, dovoljna je i standardna Endpoint zaštita, ali po preporukama navedenim u uputstvu. Sve je u slici i reči i detaljnijim pojašnjenjima, kako smo od ESET-a veći navikli.

To be continued…