Skoči na vsebino

SI-CERT 2021-04 / Kritična ranljivost Microsoft Windows Print Spooler servisa

Objavljeno: 1.7.2020
Zadnja sprememba: 2.7.2020

Povzetek

Ranljivost omogoča kateremukoli avtenticiranemu uporabniku oddaljeno izvajanje kode s privilegiji SYSTEM uporabnika na sistemih Microsoft Windows, ki imajo omogočen Print spooler servis. PoC koda, ki omogoča izkoriščanje ranljivosti, je že javno objavljena.

Opis

Ranljivost z oznako CVE-2021-34527 lahko napadalec izkoristi za izvajanje ukazov s privilegiji SYSTEM uporabnika. Print Spooler servis je privzeto omogočen na vseh Microsoft Windows sistemih, vključno z Windows domenskimi kontrolerji, kar bi potencialnemu napadalcu omogočilo popoln prevzem nadzora nad Windows domeno. Za izvedbo napada mora imeti napadalec predhodno pravice kateregakoli avtenticiranega uporabnika.

Po trenutno znanih podatkih (2.7.2021) naj bi bili prizadeti zgolj domenski kontrolerji (DC). Microsoft sicer te informacije še ni potrdil. Dodatne informacije v zvezi z ranljivostjo so na voljo na Microsoftovi spletni strani.

Ukrepi

Za opisano ranljivost trenutno ni na voljo varnostnega popravka proizvajalca (gre za t.i. 0-day ranljivost). Izraba ranljivosti se lahko onemogoči tako, da se onemogoči Print Spooler servis, in sicer vsaj na kritičnih sistemih (npr. domenskih kontrolerjih). Onemogočanje tega servisa ima lahko stranske posledice, sploh če sistem deluje kot tiskalniški strežnik. Dodatne informacije glede tega so na voljo na Microsoftovi spletni strani.
Dodatno se lahko izvajanje PoC kode omeji z uporabo ACL pravil, ki preprečijo odlaganje datotek v mapo C:\Windows\System32\spool\drivers.

Dodatne povezave

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
https://docs.microsoft.com/en-us/windows-server/security/windows-services/security-guidelines-for-disabling-system-services-in-windows-server#print-spooler
https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available

Preberite tudi

SI-CERT 2022-01 / Kibernetski napadi, povezani z vojno v Ukrajini

Trenutno v Sloveniji ne zaznavamo aktivnosti, ki bi bile neposredno povezane z napadi v Ukrajini, vendar bomo na SI-CERT še naprej pozorni na nadaljnji razvoj situacije. Organizacijam in posameznikom podajamo osnovne napotke za zaščito.
Več

SI-CERT 2021-06 / Kritična ranljivost Java knjižnice Apache Log4j

V programski knjižnici Java logging library Log4j je bila odkrita kritična ranljivost, ki napadalcem omogoča izvajanje poljubne kode na sistemu
Več

SI-CERT 2021-05 / Kritične ranljivosti Microsoft Exchange (ProxyShell)

Veriga ranljivosti v Microsoft Exchange omogoča oddaljeno podtikanje in zagon poljubne kode (RCE, Remote Code Execution) z administratorskimi pravicami. Gre za drugačno verigo od tiste, ki jo je Microsoft objavil marca. Ranljivosti je možno odpraviti z uradno izdanimi popravki.
Več