Allvarlig sårbarhet i Windows-printspooler ”PrintNightmare”

Uppdatering: Korrekt CVE för denna nya sårbarhet är CVE-2021-34527.

Om du har ”Print Spooler”-tjänsten aktiverad (vilket är standard) innebär det att vem som helst med åtkomst kan exekvera kod som SYSTEM mot Windows-domänkontrollanten. I dagsläget finns det ingen patch från Microsoft.

Så gör ett uppehåll i din semester och stäng av tjänsten omedelbart. Från Tenables blogg:

Exploitation of CVE-2021-1675 could give remote attackers full control of vulnerable systems. To achieve RCE, attackers would need to target a user authenticated to the spooler service. Without authentication, the flaw could be exploited to elevate privileges, making this vulnerability a valuable link in an attack chain.

Video på PoC:

This #printnightmare / CVE-2021-1675 is really serious 🤪

Just adapted/simplified original POC then:
*From Remote standard user to SYSTEM*

Here on a domain controller, but valid on all systems with RPC to spooler available, remote or local

➡️ disable service now (no patch yet) pic.twitter.com/qpUFgPUZyh

— 🥝🏳️‍🌈 Benjamin Delpy (@gentilkiwi) June 30, 2021

Mer information hos Microsoft: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675

Och här finns en fungerade exploit av cube0x0:

• github.com/cube0x0/CVE-2021-1675