In English
red team

30 juni, 2021

Potentiellt allvarlig säkerhetsbrist i Windows Print Spooler

Nya indikationer tyder på att en sårbarhet i Microsofts tjänst Print Spooler som skulle ha åtgärdats i samband med en tidigare säkerhetsuppdatering ännu inte är åtgärdad. Bristen gör det möjligt för angripare att exekvera kod över nätverket, vilket gör den allvarlig.

Tidigare i juni släppte Microsoft en säkerhetsuppdatering i syfte att åtgärda en allvarlig säkerhetsbrist i Print Spooler-tjänsten, som är ett program i Windows som ansvarar för att hantera alla utskriftsjobb som skickas till datorns skrivare eller skrivarserver. En angripare som utnyttjar denna brist kan exekvera kod på Windows-datorer över nätverket eller öka sina rättigheter lokalt på en Windows-dator. Under tisdagen släpptes ett verktyg (PrintNightmare) för att utnyttja denna brist. Verktyget togs snabbt bort, men kopior florerar nu publikt. 

Tidigt idag (30/6) har indikationer som tyder på att säkerhetsbristen inte åtgärdats helt av säkerhetsuppdateringen släppts, vilket i så fall innebär att även system där säkerhetsuppdateringen har installerats är sårbar för kodexekvering över nätverket. Sentor bevakar utvecklingen, men vill uppmana organisationer att se över exponeringen av Print Spooler-tjänsten i sin miljö. 

Detta vet vi nu: 

  • Angriparen behöver nätverksåtkomst till den sårbara tjänsten via MS RPC.  
  • Angriparen behöver en användare för att kunna ansluta till målservern. 
  • Servern behöver ansluta till en filyta över Windows networking för att hämta hem skadlig kod. 

Rekommendationer på säkerhetshöjande åtgärder: 

  • Deaktivera Print Spooler-tjänsten på kritiska servrar (domän-kontrollanter, Exchange Servrar, ADFS-servrar, SCCM-servrar, certifikat-servrar, administrativa miljöer, etc) och servrar där administrativa användare normalt sett rör sig. 
  • Deaktivera Print Spooler-tjänsten på alla servrar som inte delar ut skrivare. 
  • Stärk övervakningen på datorer där Print Spooler behöver vara aktivt. Larma på processer skapade av den aktuella tjänsten med exempelvis EDR eller annan typ av central loggning. 

Källor: 

Uppdatering:

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.