Zero-day zranitelnost PrintNightmare ve Windows

Co je PrintNightmare?

Společnost Sagfor, specialista pro kybernetickou bezpečnost, zdokumentovala dosud neznámou chybu ve Windows Print Spooler Remote Code Execution, zkráceně nazývanou jako PrintNightmare. Pokud by došlo ke zneužití této chyby, může útočníkům otevřít plný přístup k doménovým řadičům.

Tato nová a neopravená chyba je podobná dříve zjištěné chybě označené jako CVE-2021-1675, která ale byla opravena v nejnovější aktualizaci Patch Tuesday ze dne 8. června 2021. Ovlivněny jsou prakticky všechny podporované verze Windows, od Windows 7 SP1 po Server 2019, včetně verzí ARM64 Windows, Server Core a Windows RT 8.1. Několik nezávislých odborníků zveřejnilo testovací koncepty ukazující úspěch nového exploitu i na serveru Windows, který má již aplikovaný Microsoft patch z června 2021.

Chyba byla původně zdokumentována společností Microsoft jako otevření cesty EoP (zvýšení oprávnění) v téměř každé podporované verzi Windows, od Windows 7 SP1 po Server 2019. Verze systému Windows ARM64, sestavení Server Core (minimalistické instalace produktů Windows Server) a dokonce i Windows RT 8.1 vytvořily seznam ovlivněných platforem.

21. června 2021 společnost Microsoft upgradovala stránku s aktualizací zabezpečení CVE-2021-1675, kde připustila, že chybu lze použít také pro RCE (vzdálené spuštění kódu), což z ní dělá vážnější hrozbu než pouze EoP.

Co dělat?

Zajistěte, aby byly vaše systémy Windows aktuální s nejnovějšími opravami, a neustále hledejte novou opravu od společnosti Microsoft, která by tento problém vyřešila – a nasaďte ji, jakmile bude k dispozici.

Aktuální řešení

Momentální patche nejsou pro opravení chyby dostačující a je tedy pravděpodobné, že bude chyba hojně využívána. Doporučujeme tedy:

  • vypnout službu zařazování tisku pro všechny počítače se systémem Windows v síti
  • přísně omezit přístup k síti pro počítače, které nemohou mít vypnuté služby zařazování tisku
  • v počítačích, kde je zařazovač tisku spuštěn, ale není vyžadován, vypněte službu a nechejte ji vypnut i po zpřístupnění opravy pro tuto chybu zabezpečení

Zákazníci Sophos EDR / XDR

Zákazníci Sophos EDR a Sophos XDR mohou pomocí funkce Live Discover spustit níže uvedený dotaz a rychle identifikovat, na kterých zařízeních je spuštěna služba zařazování tisku. Pokud je spuštěn, je počítač potenciálně vystaven neopraveným zranitelnostem v zařazovači tisku, jako je PrintNightmare.

–PrintNightmare Check

SELECT display_name, status, start_type, user_account,
CASE
WHEN status = ‚RUNNING‘ THEN ‚Exposed to unpatched vulnerabilities inc. Print Nightmare‘
WHEN status = ‚STOPPED‘ THEN ‚NOT exposed to unpatched vulnerabilities inc. Print Nightmare‘
END AS SpoolerCheck,
CASE
WHEN start_type = ‚AUTO_START‘ THEN ‚Set Spooler to DISABLED or DEMAND_START‘
END AS ServiceCheck
FROM services WHERE path like ‚C:\Windows\System32\spoolsv.exe‘;

Novinky ze světa kyberbezpečnosti na váš e-mail

Co je nového v oblasti IT security? Buďte v obraze. Jednou měsíčně vám pošleme to nejzajímavější o bezpečnosti firemních sítí a dat.

Pro vás

Technická podpora

Blog

Školení

Kariéra

Nezávazná poptávka

Užitečné odkazy

Řešení

Produkty

Naši zákazníci

O společnosti

Obchodní podmínky

Ochrana osobních údajů

Zásady cookies

Nabízené řešení

Zabezpečení vstupu do sítě

Datová dostupnost

Monitoring sítě

Ochrana koncových zařízení

Ransomware ochrana

Mobile device management

Šifrování dat

Zabezpečení WiFi sítě

Zabezpečené propojení poboček

IT serverová infrastruktura

Kontakty

awin IT, s. r. o.
Nad Šutkou 540/14
182 00 Praha 8

Ukázat na mapě »

+420 778 058 077

info@awinit.cz

Copyright 2021 awin IT, s. r. o.

Přihlaste se k odběru newsletteru, ať vám neuniknou žádné tipy v oblasti zabezpečení dat. Jako dárek dostanete e-book.