NCSC stiller seg bak HelseCERTs anbefaling om å skru av aktuell tjeneste som et minimum på domenekontrollere frem til sikkerhetsoppdatering som retter sårbarheten er sluppet.

Utnyttelseskode er tilgjengelig, men NCSC er på nåværende tidspunkt ikke kjent med aktiv utnyttelse i Norge.

Kort oppsummert:

CVE-2021-1675 ble ikke tilstrekkelig patchet forrige "Patch Tuesday", og er fortsatt sårbar for angrep. Angrepet kan la en hvilken som helst domenebruker eskalere rett opp til administrator. Service "Print Spooler" bør slås av og deaktiveres fram til Microsoft slipper en oppdatering som fikser problemet. Den bør som minimum slåes av på domenekontrollere. Se under for utfyllende informasjon.

Innledning:

Forrige "Patch Tuesday" inneholdt en oppdatering for CVE-2021-1675 [1]. Denne er av Microsoft listet som en sårbarhet med lokal angrepsvektor, altså at angriper må ha fysisk tilgang eller en lokal bruker.

Sårbarheten ligger i "Spooler Service", som er en utskriftstjeneste. Denne er som standard aktivert på de fleste Windows-installasjoner, inkludert domenekontrollere.

Det rapporteres nå at oppdateringen ikke løste problemet og at enkle endringer i angrepskoden både omgår fiksen, og gjør at angrepet kan brukes for fjernkjøring av kode [2][3]. Vellykket utnyttelse av sårbarheten lar hvilken som helst bruker eskalere rettighetene sine rett opp til domeneadministrator.

Sårbarheten ble opprinnelig klassifisert som Local Privilege Escalation (LPE) av Microsoft, ikke Remote Code Execution (RCE). Microsoft har i senere tid oppdatert beskrivelsen sin til å indikere at sårbarheten kan utnyttes over nettverk.

"Spooler Service" brukes for å administrere printjobber. Den kjører både på Windows-klienter og servere som standard. Det er mulig å skrive ut uten denne, men det krever at både lokal driver på klienten og printeren støtter dette. For fungerende utskrift med "Spooler Service" må servicen kjøre på både klienten og printserveren. Den trengs med andre ord ikke på f.eks. domenekontrollere med mindre denne fungerer som printserver.

Vi forventer at denne sårbarheten snart vil utnyttes av angripere i både målrettede og automatiserte angrep.

Angrepskode er offentlig tilgjengelig [4]. Microsoft har begynt å ta ned Github-sider som har angrepskode tilgjengelig, men dette betyr ikke at koden ikke er tilgjengelige for angripere.

Tiltak:

For å utnytte angrepet må man nå en Windows-server der "Spooler Service" er tilgjengelig. Man trenger også en gyldig konto i domenet. Siden det for øyeblikket ikke finnes noen oppdatering til denne sårbarheten er det per nå kun mitigerende tiltak.

Domenekontrollere og andre servere som kjører "Spooler Service" bør ikke være nåbare fra internett. Dette for å redusere tilgjengelig angrepsflate. Domenekontrollere bør selvsagt ikke være direkte nåbare fra internett uansett. Tjenesten "Spooler Service" bør skrues av og deaktiveres på alt annet enn klienter og printservere fram til en oppdatering er tilgjengelig. Om drivere og printere støtter utskrift uten "Spooler Service" anbefaler vi den deaktiveres overalt.

Referanser:

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675

[2] https://twitter.com/gentilkiwi/status/1410066827590447108

[3] https://www.tenable.com/blog/cve-2021-1675-proof-of-concept-leaked-for-critical-windows-print-spooler-vulnerability

[4] https://github.com/cube0x0/CVE-2021-1675