PrintNightmare

Skriverkø-sårbarhet i Windows er mye mer alvorlig enn først antatt

Nå ser det ut til at sikkerhetsfiksen ikke fungerer.

Den alvorlige Windows-sårbarheten kalles for PrintNightmare.
Den alvorlige Windows-sårbarheten kalles for PrintNightmare. (Illustrasjonsfoto: Colourbox/Yuganov Konstantin. Montasje: Digi.no )

Nå ser det ut til at sikkerhetsfiksen ikke fungerer.

8. juni kom Microsoft blant annet med en sikkerhetsfiks som angivelig skulle fjerne en sårbarhet i Windows Print Spooler, som er tjeneste som kjøres som standard på de fleste Windows-baserte PC-er og servere, inkludert Windows-versjoner som Microsoft ikke lenger støtter. 

I utgangspunktet så dette ut til at være en mindre alvorlig sårbarhet som kun åpnet for forhøyde privilegier, nærmere bestemt på SYSTEM-nivå. 21. juni endret Microsoft artikkelen om sårbarheten fordi det var blitt oppdaget at den også åpner for fjernkjøring av vilkårlig kode. Plutselig fikk den status som kritisk.

Angret publisering

Sikkerhetsforskerne som oppdaget sårbarheten, publiserte denne uken et konseptbevis på Github. Dette beskriver hvordan sårbarheten kan utnyttes.

Sårbarheten har fått navnet PrintNightmare av sikkerhetsforskerne. I omtalen forteller de at det har blitt funnet svært mange sårbarheter i Windows Printer Spooler det siste tiåret, inkludert én som ble utnyttet av den mye omtalte Stuxnet-ormen. 

Oppføringen ble fjernet igjen etter noen timer fordi sikkerhetsforskerne angret seg. Men da var oppføringen allerede blitt kopiert av flere andre.

Omgående av sikkerhetsfiksen

Nå ser det ut til at det sikkerhetsfiksen som Microsoft kom med i begynnelsen av juni, ikke fungerer så godt.

Bør deaktiveres om mulig

Marius Sandbu i Tietoevry skriver i et innlegg at sårbarheten kan gi full domenetilgang til en domenekontroller i en SYSTEM-kontekst. Dette krever dog at sårbarheten utnyttes av en autentisert domenebruker. 

Les også

Ifølge Sandbu er det fleste Windows-systemer skjermet mot slike angrep gjennom standardreglene i den innebygde brannmuren. For Windows-baserte servere kan situasjonen være en helt annen. 

Inntil Microsoft har kommet med en ny sikkerhetsfiks eller kategorisk avviser påstandene om at den nåværende sikkerhetsfiksen ikke fungerer, anbefales det an man stopper Windows Print Spooler-tjenesten dersom den ikke faktisk brukes. Ifølge Sandbu kan dette blant annet gjøres på denne måten i Powershell: 

Stop-Service -Name Spooler -Force 
Set-Service -Name Spooler -StartupType Disabled

Men gjør man dette på en PC, får man ikke lenger skrevet ut.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen