Af Eskil Sørensen, 01/07/21
En ny sårbarhed (CVE-2021-1675) har ramt Windows-servere. Der er tale om en remote code execution-sårbarhed, der gør det muligt for en hacker med en almindelig brugerkonto at overtage en server, der kører Windows Print Spooler-tjenesten. Dette betyder også, at fjernangribere med adgang til en bruger, der er i stand til at godkende til spoolertjenesten, ved udnyttelse af CVE-2021-1675, kan få fuld kontrol over ethvert system, der kører printerspoolertjenesten.
Dette fremgår af et blogindlæg på Truesec.
Print Spooler-tjenesten kører som standard på alle Windows-servere og klienter, inklusive domænecontrollere, i et Active Directory-miljø.
PoC offentliggjort
Sårbarheden indebærer, at en hacker med en almindelig domænekonto kan overtage hele Active Directory i et simpelt trin. For eksempel, hvis en bruger er kompromitteret med et phishing-angreb, kan en trusselsaktør bruge den kompromitterede computer til let at overtage Active Directory på få sekunder.
En proof-of-concept (PoC)-exploit blev for nylig offentliggjort og efter sigende hurtigt fjernet igen. På trods af dette var GitHub-arkivet med exploiten allerede blevet klonet.
Opdatering udsendt, men..
CVE-2021-1675 skulle været patchet den 8. juni, hvorfor anbefalingen har lydt blot at opdatere systemer. Men exploiten fungerer stadig på en fuldt patchet domænecontroller. Derfor lyder anbefalingen fra Truesec, at alle systemer (især domænecontrollere) skal have Print Spooler-tjenesten deaktiveret, indtil en fungerende patch er tilgængelig og installeret. Det bemærkes i blogindlægget, at tjenesten skal deaktiveres og ikke stoppes.
Truesec har i sit blogindlæg udarbejdet en workaround, der hindrer udnyttelse, samtidig med at serverne fortsat kører.
Links: