Security

PrintNightmare

David Järnström

Uppdaterad 2021-07-16

Uppdatering kring PrintNightmare

Kort sammanfattning om PrintNightmare

Windows tjänsten Print Spooler har en funktion för att installera nya skrivardrivrutiner. Det är genom denna funktion som malicious actors kan installera egna drivrutiner både från lokalt men även från remote. Det ska normalt krävas administratörs rättigheter för att kunna installera drivrutinerna men sårbarheten har visat att en malicious actor som har inloggning för en vanlig användare kan göra detta.

Vad har hänt?

Det har blivit lite komplicerat, PrintNightmare kopplades först samman med ID CVE-2021-1675 (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675 ) men Microsoft har under natten gett PrintNightmare ID CVE-2021-34527 (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527 )

Båda sårbarheterna är liknande och attackerar Print Spooler tjänsten men har inte samma attackvektor så alla behöver följa upp båda ID och patcha dem när Microsoft har släpper patchar.

Säkerhetsforskare såg i juni att Microsoft patchat CVE-2021-1675 och släppte då sina bevis publikt att dem hade hittat sårbarheten först, detta för att få vara med i Black Hat conference och presentera buggen. Det hör till vanligheten att säkerhetsforskare som hittar sårbarheter meddelar företaget i fråga och när sårbarheten är patchad så släpper säkerhetsforskarna information hur dem gick tillväga och hur det fungerar

Nu till förvirringen, säkerhetsforskarnas sårbarhet var alltså inte CVE-2021-1675 utan CVE-2021-34527 (aka PrintNightmare) så dem råkade släppa bevis för en aktiv och opatchad sårbarhet, även om dem efter någon timme tog bort bevisen publikt så hade informationen spridits.

Vad Du ska göra för att skydda er

Prio är fortfarande att avaktivera Print spooler tjänsten på domänkontrollanter för att undvika att hela domänen tas över.

Se sedan över resten av servrarna och där print spooler tjänsten inte används bör den avaktiveras. På dem servrar där tjänsten behöver vara aktiv finns det två workarounds som Microsoft beskriver i som kan användas för att minska risken https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

 

Uppdatering 2021-07-04

Informationen kring PrintNightmare har ändrats/uppdaterats senaste 24 h, det är fortsatt oklart exakt hur påverkan är och vad man bör göra för att mitigera hotet. Mycket gissningar och antaganden, folk som sprider gammal info osv.

MS tycker nu att man bör se över om “Authenticated Users” & ”Domain Users” är nestade med dem AD grupper som Microsoft listar i CVE-2021-34527.

 

Uppdatering 2021-07-05

Microsoft visar nu i Defender for Endpoint och ”Threat Vulnerability” vilka devices som har PrintNightmare sårbarheten!

Vulnerabilities in my organization – threat and vulnerability management | Microsoft Docs

Uppdatering 2021-07-06

Under natten har säkerhetsforskare hittat nya attack vektorer för PrintNightmare vilket har gjort att vissa tidigare lösningar nu inte hjälper. Fortsatt är det Microsoft’s två primära workarounds som gäller:

  • Disable/avaktivera och stoppa print spooler tjänsten
  • Disable inbound remote printing via Group Policy – ”Allow Print Spooler to accept client connections”

Information om den nya attack vektorn finns i följande twittertråd: Stan Hegt on Twitter: ”Important update on #PrintNightmare flowchart! The good news: the flowchart has become much easier to interpret. The bad news: a new exploitation vector demonstrated by @gentilkiwi renders all systems vulnerable where the spooler is accessible. https://t.co/1ryunHn8nD https://t.co/sYUlvJJ8ZX” / Twitter

Uppdatering 2021-07-07

Nu har Microsoft släppt patch för PrintNightmare men även för CVE-2021-1675 som inte patchades helt i Juni uppdateringen.
Det går att ladda ner enskilda patchar för respektive OS från CVE-2021-34527 – Security Update Guide – Microsoft – Windows Print Spooler Remote Code Execution Vulnerability men den kommer även med i vanliga kanaler som windows update.

Patchen hanterar Remote Execution delen av sårbarheten, Microsoft hänvisar vidare till KB5005010 där det finns beskrivet hur man kan härda servern till att enbart Administratörer får installera osignerade drivrutiner dvs även delegerade rättigheter inte kan installera drivrutinen.
https://support.microsoft.com/topic/31b91c02-05bc-4ada-a7ea-183b129578a7

Uppdatering 2021-07-08

Microsoft’s patch för PrintNightmare täpper inte till 100 %, även för Remote Execution https://video.twimg.com/tweet_video/E5ssCk2XIAEAq12.mp4

Viktigt att fortsatt ha print spoolern avaktiverad där den inte används och se till att loggning finns där den måste vara igång för att upptäcka eventuella försök till intrång.

Uppdatering 2021-07-16

Microsoft har inatt släppt en ny patch för att mitigera den lokala sårbarheten i PrintNightmare och döpt den till CVE-2021-34481
CVE-2021-34481 – Security Update Guide – Microsoft – Windows Print Spooler Elevation of Privilege Vulnerability

Upptäck mer