SÅRBARHETER

Skriverkø-sårbarhet i Windows er mye mer alvorlig enn først antatt

Nå ser det ut til at sikkerhetsfiksen ikke fungerer.

Den alvorlige Windows-sårbarheten kalles for PrintNightmare.
Den alvorlige Windows-sårbarheten kalles for PrintNightmare. Illustrasjonsfoto: Colourbox/Yuganov Konstantin. Montasje: Digi.no
Harald BrombachHarald BrombachNyhetsleder
30. juni 2021 - 15:30

8. juni kom Microsoft blant annet med en sikkerhetsfiks som angivelig skulle fjerne en sårbarhet i Windows Print Spooler, som er tjeneste som kjøres som standard på de fleste Windows-baserte PC-er og servere, inkludert Windows-versjoner som Microsoft ikke lenger støtter. 

I utgangspunktet så dette ut til at være en mindre alvorlig sårbarhet som kun åpnet for forhøyde privilegier, nærmere bestemt på SYSTEM-nivå. 21. juni endret Microsoft artikkelen om sårbarheten fordi det var blitt oppdaget at den også åpner for fjernkjøring av vilkårlig kode. Plutselig fikk den status som kritisk.

Angret publisering

Sikkerhetsforskerne som oppdaget sårbarheten, publiserte denne uken et konseptbevis på Github. Dette beskriver hvordan sårbarheten kan utnyttes.

Sårbarheten har fått navnet PrintNightmare av sikkerhetsforskerne. I omtalen forteller de at det har blitt funnet svært mange sårbarheter i Windows Printer Spooler det siste tiåret, inkludert én som ble utnyttet av den mye omtalte Stuxnet-ormen. 

Oppføringen ble fjernet igjen etter noen timer fordi sikkerhetsforskerne angret seg. Men da var oppføringen allerede blitt kopiert av flere andre.

Omgående av sikkerhetsfiksen

Nå ser det ut til at det sikkerhetsfiksen som Microsoft kom med i begynnelsen av juni, ikke fungerer så godt.

Bør deaktiveres om mulig

Marius Sandbu i Tietoevry skriver i et innlegg at sårbarheten kan gi full domenetilgang til en domenekontroller i en SYSTEM-kontekst. Dette krever dog at sårbarheten utnyttes av en autentisert domenebruker. 

Fiksen for CVE-2021-34527 er tilgjengelig gjennom kanalene til Opatch.
Les også

PrintNightmare får en fiks

Ifølge Sandbu er det fleste Windows-systemer skjermet mot slike angrep gjennom standardreglene i den innebygde brannmuren. For Windows-baserte servere kan situasjonen være en helt annen. 

Inntil Microsoft har kommet med en ny sikkerhetsfiks eller kategorisk avviser påstandene om at den nåværende sikkerhetsfiksen ikke fungerer, anbefales det an man stopper Windows Print Spooler-tjenesten dersom den ikke faktisk brukes. Ifølge Sandbu kan dette blant annet gjøres på denne måten i Powershell: 

Vis mer

Men gjør man dette på en PC, får man ikke lenger skrevet ut.

Finansminister Trygve Slagsvold Vedum (Sp) går fra Finansdepartementet til Stortinget før fremleggelsen av statsbudsjettet for 2025.
Foto: Fredrik Varfjell / NTB
Les også

181 millioner til IKT-grunnmur og cyberoperasjoner

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.