Windows servisa "Print Spooler" ievainojamības
[Papildināts 16.07.2021]
Microsoft 15.jūlijā publicējis informāciju par trešo Windows servisa “Print Spooler” ievainojamību (CVE-2021-34481) pēdējo divu mēnešu laikā. Šī ievainojamība ļauj uzbrucējam palielināt tiesības lokālās sistēmas ietvaros. Rezultātā uzbrucējs var augšupielādēt kaitnieciskas programmas, skatīt, mainīt un dzēst datus, kā arī izveidot jaunu lietotāja kontu ar visām tiesībām.
Trešajai ievainojamībai pagaidām atjauninājumi vēl nav pieejami, tādēļ šobrīd kā pagaidu risinājums tiek ieteikts atslēgt “Print Spooler” servisu uz domēna kontroliera un citām kritiskām sistēmām, kur šī funkcionalitāte nav nepieciešama. Kā arī sekot līdzi Microsoft paziņojumiem un jaunākajiem atjauninājumiem.
Vairāk:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481
https://www.zdnet.com/article/windows-print-spooler-hit-with-local-privilege-escalation-vulnerability/
[Papildināts 08.07.2021]
Microsoft publicējis ārpuskārtas atjauninājumus kritiskai Windows servisa “Print Spooler” ievainojamībai (CVE-2021-34527), kas plašāk pazīstama arī kā “PrintNightmare”. Atjauninājumi šobrīd ir pieejami tikai daļai Windows sistēmu, taču atlikušie labojumi no Microsoft puses tiek solīti drīzumā. CERT.LV aicina pēc iespējas ātrāk uzstādīt publicētos atjauninājumus.
[Oriģinālā ziņa 01.07.2021]
Microsoft 8.jūnijā publicēja atjauninājumus Windows servisa “Print Spooler” (CVE-2021-1675) ievainojamībai, kas ļauj uzbrucējiem paaugstināt piekļuves tiesības (LPE), kā arī laterāli izplatīties Active Directory ietvaros.
Pārpratuma dēļ kāda kiberdrošības pētnieku grupa 30.jūnijā publicēja potenciāla uzbrukuma piemēru, kas, viņuprāt, bija saistīts ar ievainojamības CVE-2021-1675 ekspluatāciju. Taču izrādījās, ka pētnieku grupa ir atklājusi citu, līdzīgu ievainojamību (CVE-2021-34527), kas skar to pašu Microsoft “Print Spooler” servisu. Jaunatklātajai ievainojamībai šobrīd vēl nav pieejami atjauninājumi, kas to padara par lielisku uzbrukuma mērķi. Jaunatklātā ievainojamība nodēvēta par “PrintNightmare” un AD (Active Directory) vidē šī ievainojamība ļauj jebkuram lietotājam iegūt SYSTEM līmeņa permīcijas uz DC (Domain Controller), tādēļ AD kontekstā tā vērtējama kā kritiska.
Šobrīd kā pagaidu risinājums tiek ieteikts atslēgt “Print Spooler” servisu uz domēna kontroliera un citām kritiskām sistēmām, kur šī funkcionalitāte nav nepieciešama. Kā arī sekot līdzi Microsoft paziņojumiem un jaunākajiem atjauninājumiem.
Instrukcija kā atslēgt “Print Spooler” servisu: https://www.howto-connect.com/print-spooling-service-disable-enable-windows-10/
Plašāka informācija par ievainojamībām pieejama šeit:
Microsoft piedāvātais pagaidu risinājums CVE-2021-34527: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
https://www.theregister.com/2021/06/30/windows_print_spool_vuln_rce/
https://us-cert.cisa.gov/ncas/current-activity/2021/06/30/printnightmare-critical-windows-print-spooler-vulnerability