Skoči na vsebino

SI-CERT 2021-04 Kritična ranljivost Microsoft Windows Print Spooler servisa

Objavljeno: 1.7.2020
Zadnja sprememba: 2.7.2020

Povzetek

Ranljivost omogoča kateremukoli avtenticiranemu uporabniku oddaljeno izvajanje kode s privilegiji SYSTEM uporabnika na sistemih Microsoft Windows, ki imajo omogočen Print spooler servis. PoC koda, ki omogoča izkoriščanje ranljivosti, je že javno objavljena.

Opis

Ranljivost z oznako CVE-2021-34527 lahko napadalec izkoristi za izvajanje ukazov s privilegiji SYSTEM uporabnika. Print Spooler servis je privzeto omogočen na vseh Microsoft Windows sistemih, vključno z Windows domenskimi kontrolerji, kar bi potencialnemu napadalcu omogočilo popoln prevzem nadzora nad Windows domeno. Za izvedbo napada mora imeti napadalec predhodno pravice kateregakoli avtenticiranega uporabnika.

Po trenutno znanih podatkih (2.7.2021) naj bi bili prizadeti zgolj domenski kontrolerji (DC). Microsoft sicer te informacije še ni potrdil. Dodatne informacije v zvezi z ranljivostjo so na voljo na Microsoftovi spletni strani.

Ukrepi

Za opisano ranljivost trenutno ni na voljo varnostnega popravka proizvajalca (gre za t.i. 0-day ranljivost). Izraba ranljivosti se lahko onemogoči tako, da se onemogoči Print Spooler servis, in sicer vsaj na kritičnih sistemih (npr. domenskih kontrolerjih). Onemogočanje tega servisa ima lahko stranske posledice, sploh če sistem deluje kot tiskalniški strežnik. Dodatne informacije glede tega so na voljo na Microsoftovi spletni strani.
Dodatno se lahko izvajanje PoC kode omeji z uporabo ACL pravil, ki preprečijo odlaganje datotek v mapo C:\Windows\System32\spool\drivers.

Dodatne povezave

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
https://docs.microsoft.com/en-us/windows-server/security/windows-services/security-guidelines-for-disabling-system-services-in-windows-server#print-spooler
https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available

Preberite tudi

SI-CERT 2021-03 Širjenje okužb s trojanskim konjem QBot

Povzetek QBot (tudi Qakbot) je trojanski konj, prvenstveno namenjen kraji podatkov iz okuženega sistema, ki je v različnih oblikah prisoten že več kot 10 let. V zadnjih različicah je pridobil …
Več

SI-CERT 2021-02 / Kritične ranljivosti Exim poštnega strežnika

V sistemu za posredovanje e-sporočil (MTA) Exim je bilo odkritih več varnostnih pomanjkljivosti, med njimi so tudi take, ki omogočajo izvajanje ukazov na daljavo s povišanimi (root) pravicami (remote command execution – RCE). Ranljivosti so prisotne v vseh različicah Exim MTA izdanih do trenutno zadnje verzije 4.94.2. Vsem uporabnikom svetujemo takojšnjo posodobitev na zadnjo dostopno različico.
Več

SI-CERT 2021-01 / Kritične ranljivosti Microsoft Exchange strežnikov

Microsoft je izdal popravke, s katerimi je zakrpal več 0-day kritičnih ranljivosti Microsoft Exchange strežnikov. Po podatkih Microsofta naj bi se pred izdajo popravkov ranljivosti že izkoriščale v posameznih napadih, po podatkih drugih odzivnih centrov pa naj bi bil obseg izkoriščanja ranljivosti precej večji, kot je bilo prvotno domnevano.
Več