TRUSSELVURDERING (TLP HVIT)

[JustisCERT-varsel] [#048-2021] [TLP:HVIT] Sikkerhetsoppdateringer ikke tilstrekkelig for Windows Print Spooler sårbarheten "PrintNightmare"

07-07-2021

JustisCERT videresender informasjon fra Nasjonalt Cybersikkerhetssenter (NCSC) vedrørende sikkerhetsoppdateringen Microsoft publiserte 6. juli 2021 for nulldagssårbarheten i Windows Print Spooler "PrintNightmare".

 

 

Varsel fra NCSC:
De siste timene har det kommet uttalelser fra flere i sikkerhetsmiljøet som antyder at "out-of-bound"-oppdateringen fra Microsoft for nulldagssårbarheten i Windows Print Spooler ikke retter sårbarheten i tilstrekkelig grad.

 

Dersom man benytter funksjonen "Point&Print" skal det fortsatt være mulig å fjernkjøre kode på sårbare systemer [1, 2].

 

Da sårbarhetsbildet fremstår som noe uklart og fortsatt er under utvikling, anbefaler NCSC at man i tillegg til å installere "out-of-bound"-oppdateringen på sårbare systemer [3], opprettholder tiltak som ble iverksatt før denne var tilgjengelig [4] (som å sørge for at alle eksisterende og nye servere har en policy/GPO som sikrer at Print Spooler tjenesten er stoppet og «Startup type/Oppstartstype» er satt til «Disabled/Deaktivert», red.anm.).

 

NCSC er kjent med at proof of concept eksisterer, men det har ikke blitt observert aktiv utnyttelse i Norge. 

 


Referanser:
[1] https://twitter.com/gentilkiwi/status/1412706033072590852
[2] https://isc.sans.edu/diary/Microsoft+Releases+Patches+for+CVE-2021-34527/27610
[3] [JustisCERT-varsel] [#047-2021]
[4] [JustisCERT-varsel] [#045-2021]