Zero-day zranitelnost PrintNightmare ve Windows – co dělat?

Zero-day zranitelnost PrintNightmare ve Windows

Co je PrintNightmare?

Společnost Sagfor, specialista pro kybernetickou bezpečnost, zdokumentovala dosud neznámou chybu ve Windows Print Spooler Remote Code Execution, zkráceně nazývanou jako PrintNightmare. Pokud by došlo ke zneužití této chyby, může útočníkům otevřít plný přístup k doménovým řadičům.

Tato nová a neopravená chyba je podobná dříve zjištěné chybě označené jako CVE-2021-1675, která ale byla opravena v nejnovější aktualizaci Patch Tuesday ze dne 8. června 2021. Ovlivněny jsou prakticky všechny podporované verze Windows, od Windows 7 SP1 po Server 2019, včetně verzí ARM64 Windows, Server Core a Windows RT 8.1. Několik nezávislých odborníků zveřejnilo testovací koncepty ukazující úspěch nového exploitu i na serveru Windows, který má již aplikovaný Microsoft patch z června 2021.

Chyba byla původně zdokumentována společností Microsoft jako otevření cesty EoP (zvýšení oprávnění) v téměř každé podporované verzi Windows, od Windows 7 SP1 po Server 2019. Verze systému Windows ARM64, sestavení Server Core (minimalistické instalace produktů Windows Server) a dokonce i Windows RT 8.1 vytvořily seznam ovlivněných platforem.

21. června 2021 společnost Microsoft upgradovala stránku s aktualizací zabezpečení CVE-2021-1675, kde připustila, že chybu lze použít také pro RCE (vzdálené spuštění kódu), což z ní dělá vážnější hrozbu než pouze EoP.

Co dělat?

Zajistěte, aby byly vaše systémy Windows aktuální s nejnovějšími opravami, a neustále hledejte novou opravu od společnosti Microsoft, která by tento problém vyřešila – a nasaďte ji, jakmile bude k dispozici.

Aktuální řešení

Momentální patche nejsou pro opravení chyby dostačující a je tedy pravděpodobné, že bude chyba hojně využívána. Doporučujeme tedy:

  • vypnout službu zařazování tisku pro všechny počítače se systémem Windows v síti
  • přísně omezit přístup k síti pro počítače, které nemohou mít vypnuté služby zařazování tisku
  • v počítačích, kde je zařazovač tisku spuštěn, ale není vyžadován, vypněte službu a nechejte ji vypnut i po zpřístupnění opravy pro tuto chybu zabezpečení

Zákazníci Sophos EDR / XDR

Zákazníci Sophos EDR a Sophos XDR mohou pomocí funkce Live Discover spustit níže uvedený dotaz a rychle identifikovat, na kterých zařízeních je spuštěna služba zařazování tisku. Pokud je spuštěn, je počítač potenciálně vystaven neopraveným zranitelnostem v zařazovači tisku, jako je PrintNightmare.

–PrintNightmare Check

SELECT display_name, status, start_type, user_account,
CASE
WHEN status = ‚RUNNING‘ THEN ‚Exposed to unpatched vulnerabilities inc. Print Nightmare‘
WHEN status = ‚STOPPED‘ THEN ‚NOT exposed to unpatched vulnerabilities inc. Print Nightmare‘
END AS SpoolerCheck,
CASE
WHEN start_type = ‚AUTO_START‘ THEN ‚Set Spooler to DISABLED or DEMAND_START‘
END AS ServiceCheck
FROM services WHERE path like ‚C:\Windows\System32\spoolsv.exe‘;

Dárek pro odběratele newsletteru

Průvodce kybernetickou prevencí

Zjistěte, jak díky několika základním radám můžete zvýšit úroveň vašeho zabezpečení a ochránit data proti nejpokročilejších hrozbám.

Novinky ze světa kyberbezpečnosti na váš e-mail

Co je nového v oblasti IT security? Buďte v obraze. Jednou měsíčně vám pošleme to nejzajímavější o bezpečnosti firemních sítí a dat.

Přihlaste se k odběru newsletteru, ať vám neuniknou žádné tipy v oblasti kyberbezpečnosti. Jako dárek dostanete e-book.