Windows-sårbarheten som Digi.no tidligere i uken omtalte under navnet PrintNightmare, er ifølge Microsoft ikke én sårbarhet, men to.
I tillegg til sårbarheten CVE-2021-1675, som Microsoft utga en sikkerhetsfiks til den 8. juni, er det altså enda en sårbarhet, som nå kalles for CVE-2021-34527. Det er egentlig denne som kalles for PrintNightmare og som kan fjernutnyttes ved hjelp av angrepskode som allerede er utgitt.
Dermed er det ikke så rart at de som testet konseptbevisene for angrepskode faktisk lyktes i å angripe helt oppdaterte systemer.
Også annen angrepsvektor
Om CVE-2021-34527 skriver Microsoft:
– Denne sårbarheten er tilsvarende, men atskilt fra sårbarheten som er tildelt CVE-2021-1675 og som adresserer en annen sårbarhet i RpcAddPrinterDriverEx(). Angrepsvektoren er også en annen. CVE-2021-1675 ble adressert i sikkerhetsoppdateringer i juni 2021, skriver Microsoft, som avviser at sikkerhetsfiksen fra juni har introdusert den nye sårbarheten.
Mulig å kjøre vilkårlig kode
Sårbarheten CVE-2021-34527 åpner for fjernkjøring av kode i systemer hvor Windows Print Spooler-tjenesten kjøres og er tilgjengelig for klienter. Den gjør det mulig å kjøre vilkårlig kode med SYSTEM-privilegier, noe som blant annet innebærer at angriperen kan installere programvare, få til å lese, endre og slette data eller å opprette nye kontoer med full brukerrettigheter.
En forutsetning for angrep er likevel at en autentisert bruker sender et kall til RpcAddPrinterDriverEx()-funksjonen.
Microsoft kommer på denne siden med råd om hvordan angrep kan forhindres ved enten å deaktivere Print Spooler-tjenesten eller å deaktivere at den aksepterer klientforbindelser. Full deaktivering av tjenesten gjør at det ikke er mulig å sende utskrifter til en skriver fra systemet.
Ifølge Bleeping Computer er det tegn til at sårbarheten blir aktivt utnyttet i angrep.
