Microsoft říká, že PrintNightmare je již využíván a nabízí řešení

Před dvěma dny jsme informovali o novém a neopraveném exploitu Zero-day, který byl právě vydán a který umožňuje útočníkům plné možnosti vzdáleného spouštění kódu na plně opravených zařízeních Windows Print Spooler.

Hack, nazvaný PrintNightmare, umožňuje kódu útočníka spouštět s plnými systémovými oprávněními a byl vydán spolu s kódem Proof of Concept, takže byl zralý na to, aby jej mohli využít hackeři.

Hlavním zmírňujícím faktorem je, že hackeři potřebují nějaké (i nízkoprivilegované) přihlašovací údaje pro síť, ale pro podnikové sítě je lze snadno zakoupit za přibližně 3 $.

Společnost Microsoft nyní konečně zareagovala na tuto zprávu zveřejněním upozornění CVE-2021-34527 Windows Print Spooler ohledně chyby zabezpečení vzdáleného spuštění kódu.

Microsoft říká:

Společnost Microsoft si je vědoma a prošetřuje chybu zabezpečení týkající se vzdáleného spuštění kódu, která ovlivňuje službu Windows Print Spooler, a přiřadila této chybě zabezpečení CVE-2021-34527. Tato situace se vyvíjí a jakmile budou k dispozici další informace, budeme CVE aktualizovat.

Pokud služba zařazování tisku systému Windows nesprávně provádí operace s privilegovanými soubory, existuje chyba zabezpečení umožňující vzdálené spuštění kódu. Útočník, který by tuto chybu zabezpečení úspěšně zneužil, by mohl spustit libovolný kód s oprávněními SYSTEM. Útočník by pak mohl instalovat programy; prohlížet, měnit nebo mazat data; nebo vytvořit nové účty s plnými uživatelskými právy.

Útok musí zahrnovat ověřeného uživatele volajícího RpcAddPrinterDriverEx().

Ujistěte se, že jste použili aktualizace zabezpečení vydané 8. června 2021, a přečtěte si části Nejčastější dotazy a Řešení v tomto CVE, kde najdete informace o tom, jak chránit váš systém před touto chybou zabezpečení.

Ve svém hodnocení využitelnosti uvádějí, že již odhalili zneužití.

Společnost Microsoft nabízí následující řešení, které však deaktivuje službu zařazování tisku:

Zjistit, zda je spuštěna služba Print Spooler (spustit jako správce domény)

Jako správce domény spusťte následující:

Get-Service -Name Spooler

Pokud je spuštěna služba zařazování tisku nebo pokud služba není nastavena na vypnutou, vyberte jednu z následujících možností, abyste buď službu zařazování tisku zakázali, nebo zakázali příchozí vzdálený tisk prostřednictvím zásad skupiny:

Možnost 1 - Zakažte službu zařazování tisku

Pokud je zakázání služby zařazování tisku vhodné pro váš podnik, použijte následující příkazy prostředí PowerShell:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Dopad řešení Zakázáním služby Print Spooler zakážete možnost tisku lokálně i vzdáleně.

Možnost 2 – Zakažte příchozí vzdálený tisk prostřednictvím zásad skupiny

Nastavení můžete také nakonfigurovat pomocí zásad skupiny takto:

Konfigurace počítače / Šablony pro správu / Tiskárny

Chcete-li blokovat vzdálené útoky, vypněte zásadu „Povolit zařazování tisku přijímat připojení klientů:“.

Dopad řešení Tato zásada zablokuje vektor vzdáleného útoku tím, že zabrání příchozím vzdáleným tiskovým operacím. Systém již nebude fungovat jako tiskový server, ale místní tisk na přímo připojené zařízení bude stále možný.

Přečtěte si všechny podrobnosti v Microsoftu zde.