Af Eskil Sørensen, 03/08/21
En researcher har udstillet en ekstern printserver, der gør det muligt for Windows-brugere med begrænsede rettigheder at få fuldstændig kontrol over en enhed ved blot at installere en printerdriver.
Det skriver Bleeping Computer.
I juni afslørede en researcher ved et uheld en 0-dags Windows-udskrivningsspooler-sårbarhed som blev døbt PrintNightmare (CVE-2021-34527), der tillod fjernafvikling af kode og forhøjelse af privilegier.
Mens Microsoft udgav en sikkerhedsopdatering for at løse sårbarheden, fandt researcere hurtigt ud af måder at omgå patchen under visse betingelser.
Siden da har de fortsat med at finde nye måder at udnytte sårbarheden på, senest er der lavet en internet-tilgængelig printerserver, der giver alle mulighed for at åbne en kommandoprompt med administrative rettigheder.
Mulighed for trusselsaktører
Metoden giver alle, inkl. trusselsaktører, som Bleeping Computer skriver det, mulighed for at få administrative rettigheder ved blot at installere den eksterne printerdriver. Når de får administrative rettigheder på maskinen, kan de køre enhver kommando, tilføje brugere eller installere software, hvilket giver dem fuldstændig kontrol over systemet.
Denne teknik er især nyttig for trusselsaktører, da den giver hurtig og nem adgang til administrative privilegier på en enhed, der hjælper dem med at sprede sig lateralt gennem et netværk.
Den pågældende researcher, Benjamin Delpy, oplyser ifølge Bleeping Computer, at han har udstillet printerserveren for at presse Microsoft til at rette fejlen.
Indtil rettelsen foreligger, er det muligt at mitigere risikoen for at fejlen bliver udnyttet, bl.a. ved at disable Windows Print spooleren.
Links:
https://www.cert.dk/da/news/2021-01-07/Kritisk-RCE-saarbarhed-i-Windows-Print-Spooler-tjenesten