Oppdatering 1. juli: Kritisk sårbarhet i Windows Print Spooler CVE-2021-1675
NCSC videresender en oppdatering fra HelseCERT om den kritiske sårbarheten i Windows Print Spooler CVE-2021-1675.
Det siste døgnet har mange jobbet for å kartlegge så mye som mulig rundt CVE-2021-1675 (PrintNightmare). Dette har gitt oss litt ny innsikt i hva som skal til for å kunne utnytte sårbarheten.
De fleste rapportene går på at Remote Code Execution-angrepet kun fungerer på en domenekontroller. Noen få rapporterer om at de har fått det til å fungere på andre servere. Frem til mer informasjon foreligger bør man altså prioritere å slå av Print Spooler på samtlige domenekontrollere før man retter seg mot andre servere. Print Spooler på domenekontrollere har en funksjon med å rydde å gamle "døde" printerjobber [1], og er derfor anbefalt å skru på igjen etter at Microsoft har gitt ut en oppdatering som lukker sårbarheten og denne er installert.
Local Privilege Escalation-delen av angrepet fungerer så langt vi vet på alle Windows-enheter med aktiv Print Spooler.
Det er rapportert at det vil bli publisert flere sårbarheter i samme komponent i tiden fremover[2], så dersom man allerede har gjort et arbeid for å kartlegge og slå av Print Spooler der denne ikke trengs bør man ha mindre jobb foran seg når disse slippes.
Dersom man vil forsøke å oppdage utnyttelse av sårbarheten har Kevin Beaumont publisert flere spørringer[3] man kan kjøre, sammen med en kort oppsummering av sårbarheten. Rapid7 har publisert en Powershell-kommando som kan kjøres for å identifisere utnyttelse av sårbarheten. [4]
Frem til Microsoft publiserer en endelig oversikt over hvilke systemer, og i hvilke konfigurasjoner, som er sårbare, så vil vi leve med et skiftende informasjonsbilde der anbefalinger og etablerte "fakta" endrer seg. Dersom det kommer flere store endringer i denne saken vil vi sende ut en ny oppdatering.
Referanser:
[2] - https://twitter.com/edwardzpeng/status/1409810304091889669