Kritická zraniteľnosť služby Print Spooler vo všetkých verziách Windows

V operačných systémoch Windows bola nájdená zraniteľnosť služby, ktorá sa využíva na komunikáciu s lokálnymi a sieťovými tlačiarňami. Spoločnosť Microsoft vydala opravnú aktualizáciu všetkých podporovaných systémov, avšak zraniteľnosť nebola odstránená. Pre zabezpečenie infraštruktúry odporúčame administrátorom vypnúť službu Print Spooler ak je to možné, alebo postupovať podľa odporúčaní Microsoft

Dôsledky

  • Zvýšenie oprávnení na úroveň systému
  • Únik citlivých informácií
  • Prevzatie kontroly nad zraniteľným systémom
  • Vzdialené vykonávanie kódu
  • Možné zneužitie ako vektor ransomverového útoku

Opis činnosti

CVE-2021-1675 (PrintNightmare – CVSSv3 7.8)

Zraniteľnosť sa nachádza v prvku Print Spooler, ktorý spolupracuje s lokálnymi, či sieťovými tlačiarňami a riadi proces tlače. Táto súčasť systému je dlhodobým zdrojom zraniteľností. Obsahujú ju všetky operačné systémy Windows už od verzie Windows Server 2004, či Windows 7.

Chyba umožňuje vzdialené vykonávanie kódu s eskalovanými oprávneniami na úroveň System. Zneužiť ju je možné s lokálnym, či vzdialeným autentifikovaným prístupom k cieľovému systému (SSH, RDP). Útočník sa rovnako môže spoliehať na interakciu používateľa a zraniteľnosť zneužiť navedením používateľa otvoriť škodlivý dokument.

Aktuálne bolo potvrdené, že oprava, ktorú spoločnosť Microsoft vydala v júni, neodstráni hlavnú príčinu zraniteľnosti a aj po aktualizácii je stále zneužiteľná. Aktuálne sú zverejnené najmenej 3 rôzne postupy zneužitia zraniteľnosti. Bezpečnostní výskumníci zo spoločnosti Rapid7 potvrdili, že zverejnené príklady zneužitia (proof-of-concept) fungujú aj v plne opravenej inštalácii systému Windows Server 2019.

Zraniteľná služba je v systémoch Windows predvolene povolená s výnimkou systému Windows Server Core. Americká agentúra CISA odporúča, aby správcovia systémov zakázali službu Windows Print Spooler v doménových kontroléroch a v systémoch, ktorých užívatelia nevyužívajú tlačiarne.

Časová os :

  • Chyba bola najskôr klasifikovaná ako zraniteľnosť s nízkou závažnosťou, ktorá umožňuje zvýšenie oprávnení v systéme. 20. júna bola chyba opravená aktualizáciou.
  • 21. júna 2021 spoločnosť Microsoft zistila, že chyba umožňuje vzdialené vykonanie kódu (RCE) a preklasifikoval závažnosť na úroveň kritická.
  • 27. júna výskumníci z kyberbezpečnostnej spoločnosti QiAnXin zverejnili video demonštrujúce zneužitie zraniteľnosti na dosiahnutie vzdialeného vykonania kódu (RCE).
  • O 2 dni neskôr, 29. júna výskumníci zo spoločnosti Sangfor Technologies zverejnili plne funkčný kód pre zneužitie zraniteľnosti, ktorý neskôr po pár hodinách odstránili.

Zraniteľné systémy

  • Windows Server 2004, 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 20H2
  • Windows 7, 8.1, RT 8.1, 10

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik citlivých dát
Vzdialené vykonávanie kódu

Odporúčania

  • Aktualizácia systémov na najnovšiu verziu
  • Zakázať v OS Windows / Windows Server službu Print spooler (ak je to možné)

Dostupné mitigácie nájdete na stránkach spoločnosti Microsoft.

Odkazy
https://www.rapid7.com/blog/post/2021/06/30/cve-2021-1675-printnightmare-patch-does-not-remediate-vulnerability/
https://www.tenable.com/blog/cve-2021-1675-proof-of-concept-leaked-for-critical-windows-print-spooler-vulnerability
https://us-cert.cisa.gov/ncas/current-activity/2021/06/30/printnightmare-critical-windows-print-spooler-vulnerability
https://www.helpnetsecurity.com/2021/06/30/poc-cve-2021-1675/
https://thehackernews.com/2021/06/researchers-leak-poc-exploit-for.html