Allvarlig sårbarhet i Windows-printspooler ”PrintNightmare”

Uppdatering: Korrekt CVE för denna nya sårbarhet är CVE-2021-34527.

Om du har ”Print Spooler”-tjänsten aktiverad (vilket är standard) innebär det att vem som helst med åtkomst kan exekvera kod som SYSTEM mot Windows-domänkontrollanten. I dagsläget finns det ingen patch från Microsoft.

Så gör ett uppehåll i din semester och stäng av tjänsten omedelbart. Från Tenables blogg:

Exploitation of CVE-2021-1675 could give remote attackers full control of vulnerable systems. To achieve RCE, attackers would need to target a user authenticated to the spooler service. Without authentication, the flaw could be exploited to elevate privileges, making this vulnerability a valuable link in an attack chain.

Video på PoC:

https://twitter.com/gentilkiwi/status/1410066827590447108?s=20

Mer information hos Microsoft: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675

Och här finns en fungerade exploit av cube0x0:

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>