Det har blitt avdekket en sårbarhet ved Microsoft Spooler (print) tjenesten hvor det har blitt publisert et Proof-of-Concept utnyttelse for.
Sårbarheten har blitt kjent gjennom kallenavnet #PrintNightmare og det viser seg at denne ikke var den samme som CVE-2021-1675 som ble fikset av oppdateringene for juni.
Microsoft har tildelt ID CVE-2021-34527, denne har foreløpig ikke fått en CVSS Base Score.
Hva innebærer det:
- Angriper kan over nettverket gå fra standard bruker til full kontroll over maskiner som deler printere evt hele active directory domenet dersom tjenesten kjøres på domenekontroller (dette er standard)
- Angriper kan også få full kontroll over lokal PC / server
Hva kan jeg gjøre:
- Rull ut juni oppdateringer for å stenge sårbarhetene disse dekker, f.eks. CVE-2021-1675
- DISABLE Print Spooler tjeneste på domenekontrollere der dette ikke allerede er gjort.
- Bruk Group Policy til å deaktivere remote print til klienter / maskiner som ikke skal dele printere (Se Microsoft advisory)
- På dedikerte print servere kan en herde tjenesten (se https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/)
- Det er også aktuelt å sikre at det ikke ligger domene admin kontoer lagret / pålogget på printserver; logg av kontoer og bytte passord
MITRE lenker:
- Exploitation of Remote Services - https://attack.mitre.org/techniques/T1210/
- Lateral Movement - https://attack.mitre.org/tactics/TA0008/
KONTAKT MED NETSECURITY
Dersom du trenger hjelp for å verifisere om du er sårbar, har allerede blitt utsatt for angrep eller trenger hjelp med å sikre ditt system, se https://www.netsecurity.no/under-angrep