SÅRBARHETER

Det var ikke PrintNightmare-sårbarheten Microsoft hadde fjernet

Anbefaler å stenge tilgangen til skriverkøen.

Microsoft har foreløpig ingen sikkerhetsfiks klar for å fjerne PrintNightmare-sårbarheten i Windows.
Microsoft har foreløpig ingen sikkerhetsfiks klar for å fjerne PrintNightmare-sårbarheten i Windows. Illustrasjonsfoto: Colourbox/Yuganov Konstantin. Montasje: Digi.no
Harald BrombachHarald BrombachNyhetsleder
2. juli 2021 - 14:00

Windows-sårbarheten som Digi.no tidligere i uken omtalte under navnet PrintNightmare, er ifølge Microsoft ikke én sårbarhet, men to. 

I tillegg til sårbarheten CVE-2021-1675, som Microsoft utga en sikkerhetsfiks til den 8. juni, er det altså enda en sårbarhet, som nå kalles for CVE-2021-34527. Det er egentlig denne som kalles for PrintNightmare og som kan fjernutnyttes ved hjelp av angrepskode som allerede er utgitt. 

Dermed er det ikke så rart at de som testet konseptbevisene for angrepskode faktisk lyktes i å angripe helt oppdaterte systemer. 

Også annen angrepsvektor

Om CVE-2021-34527 skriver Microsoft:

– Denne sårbarheten er tilsvarende, men atskilt fra sårbarheten som er tildelt CVE-2021-1675 og som adresserer en annen sårbarhet i RpcAddPrinterDriverEx(). Angrepsvektoren er også en annen. CVE-2021-1675 ble adressert i sikkerhetsoppdateringer i juni 2021, skriver Microsoft, som avviser at sikkerhetsfiksen fra juni har introdusert den nye sårbarheten. 

SpAIware: Her demonstrerer Johann Rehberger hvordan han fikk Chat GPT til å stjele data uten å vite det selv.
Les også

Falske minner i Chat GPT kan åpne for varige datalekkasjer

Mulig å kjøre vilkårlig kode

Sårbarheten CVE-2021-34527 åpner for fjernkjøring av kode i systemer hvor Windows Print Spooler-tjenesten kjøres og er tilgjengelig for klienter. Den gjør det mulig å kjøre vilkårlig kode med SYSTEM-privilegier, noe som blant annet innebærer at angriperen kan installere programvare, få til å lese, endre og slette data eller å opprette nye kontoer med full brukerrettigheter. 

En forutsetning for angrep er likevel at en autentisert bruker sender et kall til RpcAddPrinterDriverEx()-funksjonen. 

Microsoft kommer på denne siden med råd om hvordan angrep kan forhindres ved enten å deaktivere Print Spooler-tjenesten eller å deaktivere at den aksepterer klientforbindelser. Full deaktivering av tjenesten gjør at det ikke er mulig å sende utskrifter til en skriver fra systemet.

Ifølge Bleeping Computer er det tegn til at sårbarheten blir aktivt utnyttet i angrep.

Open AIs «Work with Apps»-funksjon skal gjøre det mindre nødvendig å klippe og lime innhold mellom apper og Chat GPT.
Les også

Mac-brukere kan snart slippe «klipp og lim» fra Chat GPT

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
4 fordeler med å bruke Tekjobb til rekruttering
Les mer
4 fordeler med å bruke Tekjobb til rekruttering
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra