Allvarlig sårbarhet i Windows-printspooler ”PrintNightmare”

Uppdatering: Korrekt CVE för denna nya sårbarhet är CVE-2021-34527.

Om du har ”Print Spooler”-tjänsten aktiverad (vilket är standard) innebär det att vem som helst med åtkomst kan exekvera kod som SYSTEM mot Windows-domänkontrollanten. I dagsläget finns det ingen patch från Microsoft.

Så gör ett uppehåll i din semester och stäng av tjänsten omedelbart. Från Tenables blogg:

Exploitation of CVE-2021-1675 could give remote attackers full control of vulnerable systems. To achieve RCE, attackers would need to target a user authenticated to the spooler service. Without authentication, the flaw could be exploited to elevate privileges, making this vulnerability a valuable link in an attack chain.

Video på PoC:

https://twitter.com/gentilkiwi/status/1410066827590447108?s=20

Mer information hos Microsoft: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675

Och här finns en fungerade exploit av cube0x0:

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet med över 20 års erfarenhet. Frågor? Kontakta mig på: [email protected] eller LinkedIn Twitter

Skriv en kommentar