Objavljeno: 1.7.2020 Zadnja sprememba: 2.7.2020
Povzetek
Ranljivost omogoča kateremukoli avtenticiranemu uporabniku oddaljeno izvajanje kode s privilegiji SYSTEM uporabnika na sistemih Microsoft Windows, ki imajo omogočen Print spooler servis. PoC koda, ki omogoča izkoriščanje ranljivosti, je že javno objavljena.
Opis
Ranljivost z oznako CVE-2021-34527 lahko napadalec izkoristi za izvajanje ukazov s privilegiji SYSTEM uporabnika. Print Spooler servis je privzeto omogočen na vseh Microsoft Windows sistemih, vključno z Windows domenskimi kontrolerji, kar bi potencialnemu napadalcu omogočilo popoln prevzem nadzora nad Windows domeno. Za izvedbo napada mora imeti napadalec predhodno pravice kateregakoli avtenticiranega uporabnika.
Po trenutno znanih podatkih (2.7.2021) naj bi bili prizadeti zgolj domenski kontrolerji (DC). Microsoft sicer te informacije še ni potrdil. Dodatne informacije v zvezi z ranljivostjo so na voljo na Microsoftovi spletni strani.
Ukrepi
Za opisano ranljivost trenutno ni na voljo varnostnega popravka proizvajalca (gre za t.i. 0-day ranljivost). Izraba ranljivosti se lahko onemogoči tako, da se onemogoči Print Spooler servis, in sicer vsaj na kritičnih sistemih (npr. domenskih kontrolerjih). Onemogočanje tega servisa ima lahko stranske posledice, sploh če sistem deluje kot tiskalniški strežnik. Dodatne informacije glede tega so na voljo na Microsoftovi spletni strani.
Dodatno se lahko izvajanje PoC kode omeji z uporabo ACL pravil, ki preprečijo odlaganje datotek v mapo C:\Windows\System32\spool\drivers.
Dodatne povezave
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
https://docs.microsoft.com/en-us/windows-server/security/windows-services/security-guidelines-for-disabling-system-services-in-windows-server#print-spooler
https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available