Nya indikationer tyder på att en sårbarhet i Microsofts tjänst Print Spooler som skulle ha åtgärdats i samband med en tidigare säkerhetsuppdatering ännu inte är åtgärdad. Bristen gör det möjligt för angripare att exekvera kod över nätverket, vilket gör den allvarlig.
- Angriparen behöver nätverksåtkomst till den sårbara tjänsten via MS RPC.
- Angriparen behöver en användare för att kunna ansluta till målservern.
- Servern behöver ansluta till en filyta över Windows networking för att hämta hem skadlig kod.
- Deaktivera Print Spooler-tjänsten på kritiska servrar (domän-kontrollanter, Exchange Servrar, ADFS-servrar, SCCM-servrar, certifikat-servrar, administrativa miljöer, etc) och servrar där administrativa användare normalt sett rör sig.
- Deaktivera Print Spooler-tjänsten på alla servrar som inte delar ut skrivare.
- Stärk övervakningen på datorer där Print Spooler behöver vara aktivt. Larma på processer skapade av den aktuella tjänsten med exempelvis EDR eller annan typ av central loggning.
- CVE-2021-1675 - Security Update Guide - Microsoft - Windows Print Spooler Remote Code Execution Vulnerability;
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675 - Twitter-tråd som sägs visa kodexekvering på en fullt uppdaterad server;
https://twitter.com/gentilkiwi/status/1410066827590447108
- Microsofts egen beskrivning av bristen, som innehåller workarounds och FAQ
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527 - Cert-SE har också publicerat information om bristen
https://cert.se/2021/07/kritisk-sarbarhet-i-microsoft-print-spooler-service
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentor.se
Använd vår PGP-nyckel