[JustisCERT-varsel] [#047-2021] [TLP:CLEAR] Sikkerhetsoppdatering er publisert for Windows Print Spooler sårbarheten "PrintNightmare"
JustisCERT ønsker å varsle om at Microsoft den 6. juli 2021 publiserte en «Out-of-Band» sikkerhetsoppdatering som retter den kritiske sårbarheten "PrintNightmare" i Windows sin Print Spooler tjeneste (CVE-2021-34527) [1]. Microsoft har ikke ferdigstilt oppdateringen for Windows Server 2012, Windows Server 2016 og Windows 10 Version 1607 p.t., men forventer at også disse vil være tilgjengelig om kort tid [2].
Sårbarheten "PrintNightmare" tillater angriper å kjøre vilkårlig kode for å tilegne seg full tilgang på et berørt Windows-system. JustisCERT er kjent med at utnyttelseskode er tilgjengelig og i bruk.
Berørte produkter er:
- Windows klienter og servere der Print Spooler tjenesten har status «Running/Kjører»
Anbefalinger:
- Patch/oppdater berørte Windows-systemer snarest (også de som har Print Spooler tjenesten satt til «Disabled/Deaktivert»)
- Prioriter virksomhetens viktigste servere (domenkontrollere, databaseservere, med mer) og systemer som kan nås fra internett først
- Sørg for at alle eksisterende og nye servere har en policy/GPO som sikrer at Print Spooler tjenesten er stoppet og «Startup type/Oppstartstype» er satt til «Disabled/Deaktivert», bortsett fra de få serverne som benyttes som print-servere eller tilbyr et skrivebord (remote desktop miljø) til virksomhetens brukere der det er behov for å skrive ut
- For virksomhetens viktigste servere (domenkontrollere, databaseservere, med mer) bør alle tjenester som ikke er helt nødvendig være «Disabled/Deaktivert»
Kilder:
[1] https://us-cert.cisa.gov/ncas/current-activity/2021/07/06/microsoft-releases-out-band-security-updates-printnightmare
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527