SÅRBARHETER

Det var ikke PrintNightmare-sårbarheten Microsoft hadde fjernet

Anbefaler å stenge tilgangen til skriverkøen.

Microsoft har foreløpig ingen sikkerhetsfiks klar for å fjerne PrintNightmare-sårbarheten i Windows.
Microsoft har foreløpig ingen sikkerhetsfiks klar for å fjerne PrintNightmare-sårbarheten i Windows. Illustrasjonsfoto: Colourbox/Yuganov Konstantin. Montasje: Digi.no
Harald BrombachHarald BrombachNyhetsleder
2. juli 2021 - 14:00

Windows-sårbarheten som Digi.no tidligere i uken omtalte under navnet PrintNightmare, er ifølge Microsoft ikke én sårbarhet, men to. 

I tillegg til sårbarheten CVE-2021-1675, som Microsoft utga en sikkerhetsfiks til den 8. juni, er det altså enda en sårbarhet, som nå kalles for CVE-2021-34527. Det er egentlig denne som kalles for PrintNightmare og som kan fjernutnyttes ved hjelp av angrepskode som allerede er utgitt. 

Dermed er det ikke så rart at de som testet konseptbevisene for angrepskode faktisk lyktes i å angripe helt oppdaterte systemer. 

Også annen angrepsvektor

Om CVE-2021-34527 skriver Microsoft:

– Denne sårbarheten er tilsvarende, men atskilt fra sårbarheten som er tildelt CVE-2021-1675 og som adresserer en annen sårbarhet i RpcAddPrinterDriverEx(). Angrepsvektoren er også en annen. CVE-2021-1675 ble adressert i sikkerhetsoppdateringer i juni 2021, skriver Microsoft, som avviser at sikkerhetsfiksen fra juni har introdusert den nye sårbarheten. 

8,5 millioner PCer gikk i blått da Crowdstrike-oppdeteringen i forrige uke hadde en kritisk feil. Men hvorfor skjedde det bare med Windows-utgaven?
Les også

Crowdstrike-kollapsen: Derfor slapp Mac og Linux billig unna

Mulig å kjøre vilkårlig kode

Sårbarheten CVE-2021-34527 åpner for fjernkjøring av kode i systemer hvor Windows Print Spooler-tjenesten kjøres og er tilgjengelig for klienter. Den gjør det mulig å kjøre vilkårlig kode med SYSTEM-privilegier, noe som blant annet innebærer at angriperen kan installere programvare, få til å lese, endre og slette data eller å opprette nye kontoer med full brukerrettigheter. 

En forutsetning for angrep er likevel at en autentisert bruker sender et kall til RpcAddPrinterDriverEx()-funksjonen. 

Microsoft kommer på denne siden med råd om hvordan angrep kan forhindres ved enten å deaktivere Print Spooler-tjenesten eller å deaktivere at den aksepterer klientforbindelser. Full deaktivering av tjenesten gjør at det ikke er mulig å sende utskrifter til en skriver fra systemet.

Ifølge Bleeping Computer er det tegn til at sårbarheten blir aktivt utnyttet i angrep.

Blue Screen of Death på en storskjerm i Newark International Airport i USA.
Les også

Sikkerhetseksperter: Vi lærer ingenting og endrer ingenting

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.