Skoči na vsebino

SI-CERT 2021-04 / Kritična ranljivost Microsoft Windows Print Spooler servisa

Objavljeno: 1.7.2020
Zadnja sprememba: 2.7.2020

Povzetek

Ranljivost omogoča kateremukoli avtenticiranemu uporabniku oddaljeno izvajanje kode s privilegiji SYSTEM uporabnika na sistemih Microsoft Windows, ki imajo omogočen Print spooler servis. PoC koda, ki omogoča izkoriščanje ranljivosti, je že javno objavljena.

Opis

Ranljivost z oznako CVE-2021-34527 lahko napadalec izkoristi za izvajanje ukazov s privilegiji SYSTEM uporabnika. Print Spooler servis je privzeto omogočen na vseh Microsoft Windows sistemih, vključno z Windows domenskimi kontrolerji, kar bi potencialnemu napadalcu omogočilo popoln prevzem nadzora nad Windows domeno. Za izvedbo napada mora imeti napadalec predhodno pravice kateregakoli avtenticiranega uporabnika.

Po trenutno znanih podatkih (2.7.2021) naj bi bili prizadeti zgolj domenski kontrolerji (DC). Microsoft sicer te informacije še ni potrdil. Dodatne informacije v zvezi z ranljivostjo so na voljo na Microsoftovi spletni strani.

Ukrepi

Za opisano ranljivost trenutno ni na voljo varnostnega popravka proizvajalca (gre za t.i. 0-day ranljivost). Izraba ranljivosti se lahko onemogoči tako, da se onemogoči Print Spooler servis, in sicer vsaj na kritičnih sistemih (npr. domenskih kontrolerjih). Onemogočanje tega servisa ima lahko stranske posledice, sploh če sistem deluje kot tiskalniški strežnik. Dodatne informacije glede tega so na voljo na Microsoftovi spletni strani.
Dodatno se lahko izvajanje PoC kode omeji z uporabo ACL pravil, ki preprečijo odlaganje datotek v mapo C:\Windows\System32\spool\drivers.

Dodatne povezave

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
https://docs.microsoft.com/en-us/windows-server/security/windows-services/security-guidelines-for-disabling-system-services-in-windows-server#print-spooler
https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available

Preberite tudi

SI-CERT 2022-03 / Več ranljivosti v produktih podjetja Siemens

Siemens je eden vodilnih proizvajalcev sistemske avtomatizacije v proizvodnji. Objavili so vrsto varnostnih obvestil, med njimi tudi za kritične ranljivosti.
Več

SI-CERT 2022-02 / MSDT Ranljivost (Microsoft Support Diagnostic Tool)

Sistemi Microsoft Windows vsebujejo ranljivost z oznako CVE-2022-30190, ki v določenih primerih napadalcem omogoča izvedbo poljubne kode. V času objave tega obvestila uradni popravki ranljivosti še niso na voljo, sama ranljivost pa se že izkorišča v napadih (t.i. 0-day ranljivost).
Več

SI-CERT 2022-01 / Kibernetski napadi, povezani z vojno v Ukrajini

Trenutno v Sloveniji ne zaznavamo aktivnosti, ki bi bile neposredno povezane z napadi v Ukrajini, vendar bomo na SI-CERT še naprej pozorni na nadaljnji razvoj situacije. Organizacijam in posameznikom podajamo osnovne napotke za zaščito.
Več