Nya indikationer tyder på att en sårbarhet i Microsofts tjänst Print Spooler som skulle ha åtgärdats i samband med en tidigare säkerhetsuppdatering ännu inte är åtgärdad. Bristen gör det möjligt för angripare att exekvera kod över nätverket, vilket gör den allvarlig.
Tidigare i juni släppte Microsoft en säkerhetsuppdatering i syfte att åtgärda en allvarlig säkerhetsbrist i Print Spooler-tjänsten, som är ett program i Windows som ansvarar för att hantera alla utskriftsjobb som skickas till datorns skrivare eller skrivarserver. En angripare som utnyttjar denna brist kan exekvera kod på Windows-datorer över nätverket eller öka sina rättigheter lokalt på en Windows-dator. Under tisdagen släpptes ett verktyg (PrintNightmare) för att utnyttja denna brist. Verktyget togs snabbt bort, men kopior florerar nu publikt.
Tidigt idag (30/6) har indikationer som tyder på att säkerhetsbristen inte åtgärdats helt av säkerhetsuppdateringen släppts, vilket i så fall innebär att även system där säkerhetsuppdateringen har installerats är sårbar för kodexekvering över nätverket. Sentor bevakar utvecklingen, men vill uppmana organisationer att se över exponeringen av Print Spooler-tjänsten i sin miljö.
Detta vet vi nu:
- Angriparen behöver nätverksåtkomst till den sårbara tjänsten via MS RPC.
- Angriparen behöver en användare för att kunna ansluta till målservern.
- Servern behöver ansluta till en filyta över Windows networking för att hämta hem skadlig kod.
Rekommendationer på säkerhetshöjande åtgärder:
- Deaktivera Print Spooler-tjänsten på kritiska servrar (domän-kontrollanter, Exchange Servrar, ADFS-servrar, SCCM-servrar, certifikat-servrar, administrativa miljöer, etc) och servrar där administrativa användare normalt sett rör sig.
- Deaktivera Print Spooler-tjänsten på alla servrar som inte delar ut skrivare.
- Stärk övervakningen på datorer där Print Spooler behöver vara aktivt. Larma på processer skapade av den aktuella tjänsten med exempelvis EDR eller annan typ av central loggning.
Källor:
- CVE-2021-1675 - Security Update Guide - Microsoft - Windows Print Spooler Remote Code Execution Vulnerability;
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675 - Twitter-tråd som sägs visa kodexekvering på en fullt uppdaterad server;
https://twitter.com/gentilkiwi/status/1410066827590447108
Uppdatering:
- Microsofts egen beskrivning av bristen, som innehåller workarounds och FAQ
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527 - Cert-SE har också publicerat information om bristen
https://cert.se/2021/07/kritisk-sarbarhet-i-microsoft-print-spooler-service
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel