SÅRBARHETER

Det var ikke PrintNightmare-sårbarheten Microsoft hadde fjernet

Anbefaler å stenge tilgangen til skriverkøen.

Microsoft har foreløpig ingen sikkerhetsfiks klar for å fjerne PrintNightmare-sårbarheten i Windows.
Microsoft har foreløpig ingen sikkerhetsfiks klar for å fjerne PrintNightmare-sårbarheten i Windows. Illustrasjonsfoto: Colourbox/Yuganov Konstantin. Montasje: Digi.no
Harald BrombachHarald BrombachNyhetsleder
2. juli 2021 - 14:00

Windows-sårbarheten som Digi.no tidligere i uken omtalte under navnet PrintNightmare, er ifølge Microsoft ikke én sårbarhet, men to. 

I tillegg til sårbarheten CVE-2021-1675, som Microsoft utga en sikkerhetsfiks til den 8. juni, er det altså enda en sårbarhet, som nå kalles for CVE-2021-34527. Det er egentlig denne som kalles for PrintNightmare og som kan fjernutnyttes ved hjelp av angrepskode som allerede er utgitt. 

Dermed er det ikke så rart at de som testet konseptbevisene for angrepskode faktisk lyktes i å angripe helt oppdaterte systemer. 

Også annen angrepsvektor

Om CVE-2021-34527 skriver Microsoft:

– Denne sårbarheten er tilsvarende, men atskilt fra sårbarheten som er tildelt CVE-2021-1675 og som adresserer en annen sårbarhet i RpcAddPrinterDriverEx(). Angrepsvektoren er også en annen. CVE-2021-1675 ble adressert i sikkerhetsoppdateringer i juni 2021, skriver Microsoft, som avviser at sikkerhetsfiksen fra juni har introdusert den nye sårbarheten. 

Russland troner, ikke helt uventet, på toppen av verdens første «World Cybercrime Index»-liste.
Les også

Disse landene er verstingene på cyberkriminalitet

Mulig å kjøre vilkårlig kode

Sårbarheten CVE-2021-34527 åpner for fjernkjøring av kode i systemer hvor Windows Print Spooler-tjenesten kjøres og er tilgjengelig for klienter. Den gjør det mulig å kjøre vilkårlig kode med SYSTEM-privilegier, noe som blant annet innebærer at angriperen kan installere programvare, få til å lese, endre og slette data eller å opprette nye kontoer med full brukerrettigheter. 

En forutsetning for angrep er likevel at en autentisert bruker sender et kall til RpcAddPrinterDriverEx()-funksjonen. 

Microsoft kommer på denne siden med råd om hvordan angrep kan forhindres ved enten å deaktivere Print Spooler-tjenesten eller å deaktivere at den aksepterer klientforbindelser. Full deaktivering av tjenesten gjør at det ikke er mulig å sende utskrifter til en skriver fra systemet.

Ifølge Bleeping Computer er det tegn til at sårbarheten blir aktivt utnyttet i angrep.

Nils Ivar Skaalerud, grunnlegger og COO hos Junglemap, skriver i kronikken at mange virksomheter enten bruker phishing-simuleringer for mye, eller tror at gjentatte simuleringer er nok til å skape bevissthet.
Les også

Den utbredte feilbruken av phishing-simuleringer er et problem

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.