TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#047-2021] [TLP:CLEAR] Sikkerhetsoppdatering er publisert for Windows Print Spooler sårbarheten "PrintNightmare"

07-07-2021

JustisCERT ønsker å varsle om at Microsoft den 6. juli 2021 publiserte en «Out-of-Band» sikkerhetsoppdatering som retter den kritiske sårbarheten "PrintNightmare" i Windows sin Print Spooler tjeneste (CVE-2021-34527) [1]. Microsoft har ikke ferdigstilt oppdateringen for Windows Server 2012, Windows Server 2016 og Windows 10 Version 1607 p.t., men forventer at også disse vil være tilgjengelig om kort tid [2].

 

Sårbarheten "PrintNightmare" tillater angriper å kjøre vilkårlig kode for å tilegne seg full tilgang på et berørt Windows-system. JustisCERT er kjent med at utnyttelseskode er tilgjengelig og i bruk.

 


Berørte produkter er:
•    Windows klienter og servere der Print Spooler tjenesten har status «Running/Kjører»
 
 
Anbefalinger:
•    Patch/oppdater berørte Windows-systemer snarest (også de som har Print Spooler tjenesten satt til «Disabled/Deaktivert»)
•    Prioriter virksomhetens viktigste servere (domenkontrollere, databaseservere, med mer) og systemer som kan nås fra internett først
•    Sørg for at alle eksisterende og nye servere har en policy/GPO som sikrer at Print Spooler tjenesten er stoppet og «Startup type/Oppstartstype» er satt til «Disabled/Deaktivert», bortsett fra de få serverne som benyttes som print-servere eller tilbyr et skrivebord (remote desktop miljø) til virksomhetens brukere der det er behov for å skrive ut
•    For virksomhetens viktigste servere (domenkontrollere, databaseservere, med mer) bør alle tjenester som ikke er helt nødvendig være «Disabled/Deaktivert»

 


Kilder:
[1] https://us-cert.cisa.gov/ncas/current-activity/2021/07/06/microsoft-releases-out-band-security-updates-printnightmare
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527