Af Eskil Sørensen, 09/08/21
En gratis løsning til håndtering af sårbarheder i Windows print spooleren er blevet publiceret mhp at beskytte Windowsbrugere fra udnyttelse. Det skriver Bleeping Computer.
Løsningen er udsendt for at imødegå den muligheden for at bruge en række exploits, der bl.a. er blevet gjort tilgængelige af en researcher ved navn Delpy, som angiveligt har publiceret dem for at presse Microsoft til at sende opdateringer på gaden.
Det havde Microsoft ellers gjort, efter at 0-dagssårbarheden ved et tilfælde blev afsløret i juni. Men som det stort set altid sker efter frigivelse af en patch, går researchere straks i gang med at finde huller i patchet – hvilket Delpy så har gjort. I en sådan grad, at han har stillet en server til rådighed for dem, der gerne vil udnytte yderligere sårbarheder rettet mod printspooleren, der ikke er opdateret.
Der er tale om kritiske sårbarheder, da de giver alle mulighed for at få SYSTEM-privilegier på en lokal enhed, endda en domænecontroller, blot ved at oprette forbindelse til en ekstern internetrettet server og installere en ondsindet printerdriver.
Når en trusselsaktør får SYSTEM-privilegier, er det overstået for systemet, som Bleeping Computer lakonisk formulerer der.
En af løsningerne til mitigering af risikoen for at sårbarheden udnyttes er at angive en whitelist over godkendte printservere, der kan bruges til at installere en printdriver.
En patch fra 0patch
En anden løsning er at installere den omtalte, gratis opdatering, som er udsendt af 0patch-mikropatchingstjenesten. Denne kan efter det oplyste bruges til at løse alle de kendte PrintNightmare-sårbarheder.
0patch er en tjeneste, der leverer minipatches af kode ("mikropatches") til computere og andre enheder. Ifølge 0patchs hjemmeside er målet med 0patch ikke at mikropatche enhver sårbarhed, men de vigtige, f.eks. dem, der udnyttes i naturen eller dem er uden officielle rettelser fra leverandøren.
Links:
https://blog.0patch.com/2021/08/free-micropatches-for-malicious-printer.html