Af Eskil Sørensen, 16/08/21
En ny sårbarhed er dukket op i 'PrintNightmare'-komplekset, som misbruger konfigurationsindstillinger for Windows-printspooler, printerdrivere og Windows Point and Print-funktionen. Microsoft udgav ellers sikkerhedsopdateringer i både juli og august for at løse forskellige sårbarhederne, men det har tilsyneladende ikke været nok.
Server til rådighed for udnyttelse
En sikkerhedsresearcher ved navn Benjamin Delpy, som stillede server til rådighed for udnyttelse af første generation af PrintNightmare-sårbarheden har således afsløret, det stadig er muligt for trusselsaktører at få SYSTEM-privilegier ved blot at oprette forbindelse til en ekstern printserver. Denne sårbarhed bruger CopyFile-registreringsdirektivet til at kopiere en DLL-fil, der åbner en kommandoprompt til klienten sammen med en printerdriver, når der oprettes forbindelse til en printer.
Mens Microsofts med sin august-patch har ændret proceduren til installation af printerdrivere, så der kræves administratorrettigheder, skal der ikke angives administratorrettigheder for at oprette forbindelse til en printer, når driveren allerede er installeret.
Hvis driveren findes på en klient og dermed ikke skal installeres, vil forbindelsen til en ekstern printer stadig udføre CopyFile-direktivet for ikke-admin-brugere. Denne svaghed gør det ifølge Bleeping Computer muligt for Benjamin Delpys DLL at blive kopieret til klienten og derfra brugt til at åbne en kommandoprompt på SYSTEM-niveau.
Ved udnyttelse af sårbarheden vil en angriber kunne køre kode SYSTEM-privilegier. Herefter er der mulighed for at installere programmer; se, ændre eller slette data eller oprette nye konti med fulde brugerrettigheder.
Advisory med mitigeringsforslag
Microsofts advisory fra onsdag i sidste uge peger på, at der ikke findes en patch til denne sårbarhed, men at løsningen er at stoppe og deaktivere Print Spooler-tjenesten. Dette medfører imidlertid, at en enhed ikke kan printe, hvorfor en bedre metode ifølge Bleeping Computer er kun at lade enheden installere printere fra autoriserede servere. Dette kræver dog ændring af politikken, således at ikke-admin brugere forhindres i at installere printerdrivere ved hjælp af Point and Print, medmindre printerserveren er på den godkendte liste.
Brug af denne politik giver den bedste beskyttelse mod udnyttelse af CVE-2021-36958, men forhindrer ikke trusselsaktører i at overtage en autoriseret printserver med ondsindede drivere.