Microsoft siger, at PrintNightmare allerede bliver udnyttet, og tilbyder en løsning
3 min. Læs
Udgivet den
Del denne artikel
Forbedre denne vejledning
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
Vi rapporterede for to dage siden om en ny og ikke-patchet Zero-day exploit, der netop er blevet frigivet, og som giver angribere fulde funktioner til fjernudførelse af kode på fuldt patchede Windows Print Spooler-enheder.
Hacket, kaldet PrintNightmare, tillader hackerkode at køre med fulde systemrettigheder og blev udgivet sammen med Proof of Concept-kode, så det var modent til at blive udnyttet af hackere.
Den vigtigste formildende faktor er, at hackere har brug for nogle (endda lavprivilegerede) legitimationsoplysninger til netværket, men for virksomhedsnetværk kan disse nemt købes for omkring $3.
Microsoft har nu endelig reageret på nyheden ved at sende CVE-2021-34527 Windows Print Spooler Remote Code Execution Vulnerability Advisory.
Microsoft siger:
Microsoft er opmærksom på og undersøger en sårbarhed ved fjernudførelse af kode, der påvirker Windows Print Spooler, og har tildelt CVE-2021-34527 til denne sårbarhed. Dette er en situation under udvikling, og vi vil opdatere CVE'en, efterhånden som mere information er tilgængelig.
Der eksisterer en sårbarhed ved fjernudførelse af kode, når Windows Print Spooler-tjenesten udfører privilegerede filhandlinger forkert. En angriber, der med succes udnyttede denne sårbarhed, kunne køre vilkårlig kode med SYSTEM-rettigheder. En angriber kunne derefter installere programmer; se, ændre eller slette data; eller opret nye konti med fulde brugerrettigheder.
Et angreb skal involvere en godkendt bruger, der kalder RpcAddPrinterDriverEx().
Sørg for, at du har anvendt sikkerhedsopdateringerne, der blev udgivet den 8. juni 2021, og se sektionerne FAQ og Workaround i denne CVE for at få oplysninger om, hvordan du hjælper med at beskytte dit system mod denne sårbarhed.
I deres Exploitability Assessment bemærker de, at de allerede har opdaget udnyttelser.
Microsoft tilbyder følgende løsning, som dog deaktiverer din Print Spooler:
Bestem, om Print Spooler-tjenesten kører (kør som en domæneadministrator)
Kør følgende som domæneadministrator:
Get-Service -Name SpoolerHvis Print Spooler kører, eller hvis tjenesten ikke er indstillet til deaktiveret, skal du vælge en af følgende muligheder for enten at deaktivere Print Spooler-tjenesten eller for at deaktivere indgående fjernudskrivning via gruppepolitik:
Valgmulighed 1 - Deaktiver Print Spooler-tjenesten
Hvis deaktivering af Print Spooler-tjenesten er passende for din virksomhed, skal du bruge følgende PowerShell-kommandoer:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType DisabledEffekten af løsningen Deaktivering af Print Spooler-tjenesten deaktiverer muligheden for at udskrive både lokalt og eksternt.
Mulighed 2 – Deaktiver indgående fjernudskrivning via gruppepolitik
Du kan også konfigurere indstillingerne via gruppepolitik som følger:
Computerkonfiguration / Administrative skabeloner / Printere
Deaktiver politikken "Tillad Print Spooler at acceptere klientforbindelser:" for at blokere fjernangreb.
Effekten af løsningen Denne politik blokerer fjernangrebsvektoren ved at forhindre indgående fjernudskrivning. Systemet vil ikke længere fungere som en printserver, men lokal udskrivning til en direkte tilsluttet enhed vil stadig være mulig.
Læs alle detaljerne hos Microsoft link..
