0patch har gitt ut gratis mikrofikser mot PrintNightmare-sårbarheten som Digi.no omtalte forrige uke. Anbefalingen da var å skru av Windows Print Spooler-tjenesten, som blant annet forårsaket at man ikke lenger kunne printe ut før man skrudde den på igjen.
0patch kom før helga ut med rekke mikrofikser til de Windows-versjonene som er sårbare for PrintNightmare. Disse vil forbli gratis og tilgjengelig fra dem inntil Microsoft kommer med en egen fiks.
Hvordan det virker
Mikrofiksene virker ved å fjerne muligheten for at APD_INSTALL_WARNED_DRIVER-flagget i dwFileCopyFlags i funksjonen AddPrinterDriverEx klarer å omgå en tilgangssjekk. Det var dette som gjorde at angrepet i utnyttelsen av sårbarheten virket.
Fiksen vil fjerne «install warned drivers»-funksjonen – som 0patch mener er lite brukt og verdt å fjerne for å forhindre at en angriper kan kjøre vilkårlig kode.
Alvorligere enn antatt
I en oppdatering mandag 5. juli skriver også 0patch at sikkerhetsforsker cube0x0 har funnet en annen angrepsvektor som i stor grad øker omfanget av maskiner som er sårbare. Denne angrepsvektoren forårsaker også at servere som ikke er domenekontrollere og vanlige Windows 10-installasjoner er sårbare. Dette øker omfanget til sårbarheten betraktelig.
0patch sier videre at fiksene de har gitt ut, skal virke selv med denne nye angrepsvektoren.
Mangfoldige muligheter
Sammen med denne fiksen er det nå flere måter å beskytte seg mot PrintNightmare-angrepet på. 0patch hevder selv at blant annet Microsofts forslag om å skru av «Print Spooler»-tjenesten, og andre forslag knyttet til å sette særegne rettigheter på brukere eller mapper, vil ha uforutsette konsekvenser i et produksjonsmiljø.
0patch anbefaler også å installere Microsofts fiks når den etter hvert kommer.