Kritisk sårbarhet i Microsoft Print Spooler Service

En kritisk sårbarhet, CVE-2021-34527, drabbar utskriftstjänsten Microsoft Print Spooler Service, vilken är standard på de flesta Windows-system, inklusive domänkontrollanter [1]. En uppdatering för den liknande sårbarheten CVE-2021-1675 fanns med i Microsofts senaste patchtisdag men visar sig nu inte ha varit tillräcklig för att åtgärda sårbarheterna i den påverkade drivrutinen [2].

Sårbarheten CVE-2021-1675 använde en lokal attackvektor, men Microsoft listar CVE-2021-34527 som en RCE-sårbarhet (remote code execution). Enkla ändringar i attackkoden kringgår den tidigare publicerade fixen och låter även attacken användas för att fjärrköra godtycklig kod [3, 4]. Om sårbarheten utnyttjas kan alla användare öka sina rättigheter upp till domänadministratören.

Microsoft Print Spooler Service används för att hantera utskriftsjobb och körs på både Windows-klienter och servrar som standard. Det går att skriva ut utan att använda tjänsten men då krävs att både den lokala drivrutinen på klienten och skrivaren stöder det. För att använda Spooler Service måste tjänsten köras på både klienten och skrivarservern. En attackkod finns tillgänglig [5].

Uppdatering 2021-07-02

Microsoft har gett sårbarheten ett nytt CVE-nummer, CVE-2021-34527, för att skilja den från sårbarheten som åtgärdades i säkerhetsuppdateringen i juni. Båda sårbarheterna påverkar RpcAddPrinterDriverEx().

Microsoft har publicerat tillfälliga åtgärder och arbetar på en säkerhetsuppdatering. [6]

Uppdatering 2021-07-07

Microsoft har publicerat säkerhetsuppdateringar för flera versioner av Windows som hanterar sårbarheten. Säkerhetsuppdateringen hanterar även sårbarheten CVE-2021-1675. För Windows 10 version 1607, Windows Server 2016 och Windows Server 2012 kommer säkerhetsuppdateringar publiceras inom kort. [6]

Påverkade produkter

Sårbarheterna berör följande produkter:Microsoft Print Spooler Service (finns i samtliga Windows-versioner, se [1] för en fullständig lista)

Rekommendationer

CERT-SE rekommenderar att så snart som möjligt installera säkerhetsuppdateringen samt genomföra de av Microsoft kompletterande åtgärderna, vilka hanterar möjligheten att som angripare kan kringgå säkerhetsuppdateringen. Om det inte är möjligt att installera säkerhetsuppdateringen omedelbart rekommenderar CERT-SE att stänga av tjänsten och inaktivera den på allt annat än klienter och skrivarservrar, eller att använda group policy för att stänga av fjärrutskrifter, tills en uppdatering finns tillgänglig. Instruktioner finns på Microsofts sida [6]. Om drivrutiner och skrivare stöder utskrift utan Spooler Service bör tjänsten stängas av överallt. Se också till att domänkontrollanter och andra servrar som kör Microsoft Print Spooler Service inte är uppkopplade mot internet, för att minimera den tillgängliga attackytan. Se till att uppdatera sårbara produkter så snart en säkerhetsuppdatering är tillgänglig.

Källor

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675

[2] https://www.cert.se/2021/06/microsofts-manatliga-sakerhetsuppdateringar-for-juni-2021

[3] https://www.tenable.com/blog/cve-2021-1675-proof-of-concept-leaked-for-critical-windows-print-spooler-vulnerability

[4] https://twitter.com/gentilkiwi/status/1410066827590447108

[5] https://github.com/cube0x0/CVE-2021-1675

[6] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527