VARSEL (TLP:CLEAR)
[JustisCERT-varsel] [#056-2021] [TLP:CLEAR] Sikkerhetsoppdateringer er ikke tilstrekkelig for å hindre utnyttelse av Windows "Print Spooler"-sårbarheten "PrintNightmare"
23-08-2021
JustisCERT ønsker å minne om følgende for sårbarheten "PrintNightmare" i Windows sin "Print Spooler"-tjeneste som omtalt i varsler [1][2][3][4][5].
- Microsoft servere og klienter som kun har installert nyeste Microsoft Security Update er fremdeles sårbare for "PrintNightmare"
- For å være beskyttet mot "PrintNightmare" må "Print Spooler"-tjenesten stoppes og "Startup type/Oppstartstype" må settes til "Disabled/Deaktivert" på alle Microsoft servere og klienter. Se anbefaling fra Microsoft [6]
Sårbarheten "PrintNightmare" tillater angriper å kjøre vilkårlig kode for å tilegne seg full tilgang på et berørt Windows-system. JustisCERT er kjent med at utnyttelseskode er tilgjengelig og i bruk.
Berørte produkter er:
- Windows klienter og servere
Anbefalinger:
- Installer de nyeste sikkerhetsoppdateringene fra Microsoft hver måned
- Stopp "Print Spooler"-tjenesten og sett "Startup type/Oppstartstype" til "Disabled/Deaktivert" på enten:
- Alle servere og klienter for å få full beskyttelse (utskrift vil da ikke være mulig)
- Alle servere og klienter bortsett fra de som trenger utskrift (systemer som kan skrive ut vil da forbli sårbare)
- Ikke eksponer servere med aktivert ("Running/Kjører") "Print Spooler"-tjeneste mot internett, gjestenett eller nett man anser som usikre/ikke stoler på. Sørg for at "Print Spooler"-tjenesten er stoppet og "Startup type/Oppstartstype" er satt til "Disabled/Deaktivert" på disse.
- Sørg for at alle eksisterende og nye servere har en policy/GPO som sikrer at "Print Spooler"-tjenesten er stoppet og "Startup type/Oppstartstype" er satt til "Disabled/Deaktivert", bortsett fra på de få serverne som eventuelt benyttes som print-servere eller tilbyr et skrivebord (remote desktop miljø) til virksomhetens brukere der det er behov for å skrive ut.
- GPO for å deaktivere "Print Spooler"-tjenesten: Computer Configuration > Windows Settings > Security Settings > System Services > Print Spooler. Huk av for "Define this policy setting" og velg "Disabled".
- For virksomhetens viktigste/utsatte servere (domenkontrollere, databaseservere, servere eksponert mot internett/usikre soner med mer) bør alle tjenester som ikke er helt nødvendig (blant annet "Print Spooler"-tjenesten) være "Disabled/Deaktivert"
- Prioriter servere som er eksponert mot internett og virksomhetens viktigste servere først
Kilder:
[1] [JustisCERT-varsel] [#045-2021]
[2] [JustisCERT-varsel] [#047-2021]
[3] [JustisCERT-varsel] [#048-2021]
[4] [JustisCERT-varsel] [#049-2021]
[5] [JustisCERT-varsel] [#054-2021]
[6] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958