Microsoft innrømmer nytt Print Spool LPE-angrep (CVE-2021-34481)

Litt som en skrekkfilm, så snart Microsoft tror deres PrintNightmare er over, dukker det opp en annen angrepsvektor.

MSRC har lagt ut et råd (CVE-2021-34481) som informerer administratorer om at til tross for at de nylig har lappet PC-ene deres mot PrintNightmare, har det blitt oppdaget et nytt angrep som gjør PC-en deres sårbar for kompromittering.

Microsoft bemerker at det eksisterer et sikkerhetsproblem med rettighetsutvidelse når Windows Print Spooler-tjenesten utfører privilegerte filoperasjoner på feil måte. En angriper som klarer å utnytte dette sikkerhetsproblemet, kan kjøre vilkårlig kode med SYSTEM-rettigheter. En angriper kan da installere programmer; vise, endre eller slette data; eller opprett nye kontoer med fulle brukerrettigheter.

I motsetning til det originale PrintNightmare er imidlertid ikke dette angrepet en ekstern kodeutnyttelse, og angriperen må ha muligheten til å kjøre kode på et offersystem for å utnytte dette sikkerhetsproblemet. Det kan selvfølgelig være lenket med en annen sårbarhet og la den utnyttelsen heve privilegiene. Microsoft bemerker at det ikke krever noen brukerintervensjon for å utføre.

Microsoft har ikke gitt ut en oppdatering for den nye feilen ennå, men merker som en løsning å stoppe og deaktivere Print Spooler-tjenesten er effektiv.

Les mer om angrepet hos Microsoft her..