8. juni kom Microsoft blant annet med en sikkerhetsfiks som angivelig skulle fjerne en sårbarhet i Windows Print Spooler, som er tjeneste som kjøres som standard på de fleste Windows-baserte PC-er og servere, inkludert Windows-versjoner som Microsoft ikke lenger støtter.
I utgangspunktet så dette ut til at være en mindre alvorlig sårbarhet som kun åpnet for forhøyde privilegier, nærmere bestemt på SYSTEM-nivå. 21. juni endret Microsoft artikkelen om sårbarheten fordi det var blitt oppdaget at den også åpner for fjernkjøring av vilkårlig kode. Plutselig fikk den status som kritisk.
Angret publisering
Sikkerhetsforskerne som oppdaget sårbarheten, publiserte denne uken et konseptbevis på Github. Dette beskriver hvordan sårbarheten kan utnyttes.
Sårbarheten har fått navnet PrintNightmare av sikkerhetsforskerne. I omtalen forteller de at det har blitt funnet svært mange sårbarheter i Windows Printer Spooler det siste tiåret, inkludert én som ble utnyttet av den mye omtalte Stuxnet-ormen.
Oppføringen ble fjernet igjen etter noen timer fordi sikkerhetsforskerne angret seg. Men da var oppføringen allerede blitt kopiert av flere andre.
“Deleted the PoC” #printnightmare https://t.co/WpyMe8Z74f pic.twitter.com/kTMyyQouoy
— Alex Ionescu (@aionescu) June 29, 2021
Omgående av sikkerhetsfiksen
Nå ser det ut til at det sikkerhetsfiksen som Microsoft kom med i begynnelsen av juni, ikke fungerer så godt.
This #printnightmare / CVE-2021-1675 is really serious ?
Just adapted/simplified original POC then:
*From Remote standard user to SYSTEM*
Here on a domain controller, but valid on all systems with RPC to spooler available, remote or local
➡️ disable service now (no patch yet) pic.twitter.com/qpUFgPUZyh
— ? Benjamin Delpy (@gentilkiwi) June 30, 2021
Bør deaktiveres om mulig
Marius Sandbu i Tietoevry skriver i et innlegg at sårbarheten kan gi full domenetilgang til en domenekontroller i en SYSTEM-kontekst. Dette krever dog at sårbarheten utnyttes av en autentisert domenebruker.
PrintNightmare får en fiks
Ifølge Sandbu er det fleste Windows-systemer skjermet mot slike angrep gjennom standardreglene i den innebygde brannmuren. For Windows-baserte servere kan situasjonen være en helt annen.
Inntil Microsoft har kommet med en ny sikkerhetsfiks eller kategorisk avviser påstandene om at den nåværende sikkerhetsfiksen ikke fungerer, anbefales det an man stopper Windows Print Spooler-tjenesten dersom den ikke faktisk brukes. Ifølge Sandbu kan dette blant annet gjøres på denne måten i Powershell:
Men gjør man dette på en PC, får man ikke lenger skrevet ut.
«Devin»: KI-basert programvareingeniør kan gjøre «alt» på egen hånd
