Alvarlegir veikleikar í Windows Print Spooler

16. júlí 2021

Tilkynnt hefur verið um alvarlegan veikleika í "Print Spooler" hluta Windows stýrikerfisins.
Veikleikinn leyfir auðkenndum staðarnotanda að framkvæma “Remote Code Execution” (RCE) með réttindi kerfisstjóra (e. SYSTEM). Þegar slíkar aðstæður myndast er auðvelt fyrir árásaraðila að brjótast inn og taka yfir vélar að fullu.

Veikleikinn hefur fengið úthlutað veikleikanúmer CVE-2021-34527 og hefur verið nefndur "PrintNightmare".  

Misskilningur leiddi til þess að tæknilegar lýsingar á leiðum til að misnota veikleikann (svokallað Proof of Concept) voru birtar opinberlega. Þó þær upplýsingar hafi fljótlega verið fjarlægðar þá er enn hægt að finna margar slíkar lýsingar og kóða (e. exploits) á netinu.

Microsoft hefur gefið út uppfærslu sem lagar veikleikann, upphaflega eingöngu í Windows Server 2012 R2, en hefur staðfest að uppfærslan lagar líka veikleikann í Windows Server 2012 og 2016 og Windows 10 útgáfu 1607.  

Fyrstu fréttir um veikleikann tengdu PrintNightmare við CVE-2021-1675 og öryggisuppfærslu frá 8. júní 2021. Microsoft hefur gefið út að þetta séu tæknilega ekki sömu veikleikar og gaf út annað CVE númer til að aðskilja þá og þær uppfærslur sem taka á þeim og til að fyrirbyggja misskilning. Þann 15. júlí síðastliðinn birtust upplýsingar um að nýr og alvarlegur veikleiki hefði fundist í Windows Print Spooler (sjá [9], [10] og [11]) sem hefur fengið númerið CVE-2021-34481. Enn sem komið er er lítið vitað um veikleikann en Microsoft hefur birt leiðbeiningar um hvernig eigi að koma í veg fyrir misnotkun [9] sem felst einfaldlega í því að stöðva Print Spooler þjónustuna. Rannsakandinn sem uppgötvaði veikleikann mun birta frekari upplýsingar 7. ágúst næstkomandi og Microsoft mun gefa út frekari upplýsingar og þá líklega uppfærslu þegar greiningu er lokið. 

Í nýjustu tilkynningum frá Microsoft er að finna leiðbeiningar um hvernig eigi að afvirkja svokallaðar "Point and Print" stillingar, annars virka uppfærslur ekki að fullu til að koma í veg fyrir misnotkun veikleikans. Sjá nánar í [5]. 

CERT-IS mælir sterklega með því að rekstraraðilar grípi til viðeigandi aðgerða, setja inn nýjustu uppfærslur og breyta stillingum samkvæmt leiðbeiningum Microsoft. Ef uppfærslur eru ekki mögulegar að þá afvirkja Print Spooler þjónustuna og fylgjast með uppfærslum eða frekari leiðbeiningum um hvernig sé hægt að koma í veg fyrir að veikleikinn sé nýttur. Sjá frekar í tilvísun [5]. 

CERT-IS mælir einnig sterklega með því að kerfisstjórar fylgist með fréttum af veikleikanum þar sem áfram eru vísbendingar um að uppfærslur virki ekki að fullu til að koma í veg fyrir misnotkun á veikleikanum. 

Hægt er að finna skipanir til að afvirkja print spoolers og leita að misnotkun veikleikans hjá DoublePulsar og Rapid7, sjá [3] og [4] að neðan.

Tilvísanir:
[1] https://therecord.media/poc-released-for-dangerous-windows-printnightmare-bug/
[2] https://www.bleepingcomputer.com/news/security/public-windows-printnightmare-0-day-exploit-allows-domain-takeover/
[3] https://doublepulsar.com/zero-day-for-every-supported-windows-os-version-in-the-wild-printnightmare-b3fdb82f840c
[4] https://www.rapid7.com/blog/post/2021/06/30/cve-2021-1675-printnightmare-patch-does-not-remediate-vulnerability/
[5] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-34527.
[6] https://us-cert.cisa.gov/ncas/current-activity/2021/06/30/printnightmare-critical-windows-print-spooler-vulnerability
[7] https://docs.microsoft.com/en-us/defender-for-identity/cas-isp-print-spooler
[8] https://us-cert.cisa.gov/ncas/current-activity/2021/07/06/microsoft-releases-out-band-security-updates-printnightmare
[9] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481
[10] https://thehackernews.com/2021/07/microsoft-warns-of-new-unpatched.html
[11] https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-guidance-on-new-windows-print-spooler-vulnerability/


Fréttin var seinast uppfærð 16. júlí vegna frekari veikleika í Print Spooler.
Fréttin var uppfærð 8. júlí. 
F
réttin var upphaflega gefin út 5. júlí síðastliðinn og er uppfærð eftir þörfum. 

Til baka