CVE-2021-1675 er en kritisk Windows-sårbarhed med et tilgængeligt proof-of-concept, der kan gøre det muligt for fjernangribere at udføre kode. PoC-koden blev delt på GitHub tidligere på denne uge, og taget ned inden for få timer. Men, disse få timer var nok til, at koden kunne kopieres.
Sårbarheden ved PrintNightmare
Sårbarheden er blevet kaldt PrintNightmare, som den findes i Windows Print Spooler. Det blev oprindeligt behandlet i sidste måneds patch-tirsdag som et ubetydeligt højdeproblem. Men, sikkerhedsforskere fra Tencent og NSFOCUS TIANJI Lab opdagede, at CVE-2021-1675 bug kunne implementeres til RCE angriber, automatisk at ændre sin status til kritisk:
Da den oprindeligt blev afsløret i opdateringen til juni-opdateringen, det blev beskrevet som en lav sværhedsgrad af privilegiets sårbarhed. Denne betegnelse blev opdateret i juni 21 for at indikere en kritisk sværhedsgrad og potentialet for RCE. Opdagelsen blev krediteret Zhipeng Huo fra Tencent Security Xuanwu Lab, Piotr Madej af AFINE og Yunhai Zhang fra NSFOCUS TIANJI Lab, i henhold til Tenable's opskrivning.
Ifølge sikkerhedsekspert Marius Sandbu, ”Selve sårbarheden er mulig, fordi, Microsoft Windows Print Spooler-tjenesten begrænser ikke adgangen til RpcAddPrinterDriverEx() funktion, som kan tillade en ekstern godkendt angriber at udføre vilkårlig kode med SYSTEM-rettigheder på et sårbart system. ”
Berørte Microsoft-produkter inkluderer alle operativsystemer fra Windows 7 Windows 10, og alt fra Server 2008 til server 2019, ifølge Dirk Schrader, global vicepræsident for sikkerhedsforskning hos New Net Technologies (NNT), der delte sin indsigt med ThreatPost.
CVE-2021-1675 Udnyttelse
Udnyttelse af PrintNightmare-sårbarheden kan gøre det muligt for fjernangribere at få fuld kontrol over berørte systemer. Fjernudførelse af kode kunne opnås ved at målrette mod en bruger, der er godkendt til spoolertjenesten.
”Uden godkendelse, fejlen kunne udnyttes til at hæve privilegier, gør denne sårbarhed til et værdifuldt led i en angrebskæde,”Holdbar tilføjet.
Det er bemærkelsesværdigt, at dette ikke er det første Windows Print Spooler-problem identificeret af forskere. Som en kendsgerning, tjenesten har en lang historie med sårbarheder. For eksempel, sådanne fejl var forbundet med de berygtede Stuxnet-angreb.
Et nyere eksempel inkluderer CVE-2020-1337, en nul-dags udskrevet spooler afsløret under 2020's Black Hat og DEF CON. Fejlen var en patch-bypass til CVE-2020-1048, en anden Windows Print Spooler-fejl patched i maj 2020.
Forskere bemærker også, at den tilgængelige patch muligvis ikke er fuldstændig effektiv. Men, andre afbødninger er mulige, som at tage Print Spooler offline. Endelig, de fleste slutpunkter ville være sikre mod PrintNightmare-udnyttelsen med de indbyggede Windows Firewall-standardregler.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: