Microsoft skyndte sig at udsende en patch til PrintNightmare-fejlen, men den løser ikke alt

Microsoft befandt sig for et par dage siden i en stor knibe. I en sikkerhedsrapport blev der ved et uheld beskrevet et problem, der kan udnyttes i forskellige Windows-versioner. Denne printerrelaterede sårbarhed, der ikke er blevet patchet, kaldes Windows PrintNightmare-fejlen og giver angribere mulighed for at udføre kode eksternt på systemer. Microsoft skyndte sig at udsende en Windows PrintNightmare-patch, som kan installeres med det samme. Rettelsen virker på Windows 10 version 1607, Windows Server 2012 og Windows Server 2016. Patchen er dog ikke perfekt. Mens Windows-brugere bør opdatere deres systemer så hurtigt som muligt for at opnå beskyttelse mod fjernangreb, er der stadig nogle problemer tilbage.

Opdateringen tager fat på det vigtigste problem med fejlen. Med det in mente bør Windows-systemadministratorer implementere patchen så hurtigt som muligt.

Hvad gør Windows PrintNightmare-patchen?

Sårbarheder fundet i Windows’ udskrivningsmekanisme ville give en hacker mulighed for at “få fuld kontrol over alle Windows-miljøer, der muliggør udskrivning” Det siger chefen for cyberforskning hos Check Point, Yaniv Balmas, som talte med The Hacker News om problemet. “Det drejer sig for det meste om arbejdsstationer, men til tider drejer det sig om hele servere, som er en integreret del af meget populære organisatoriske netværk. Microsoft klassificerede disse sårbarheder som kritiske, men da de blev offentliggjort, var de kun i stand til at rette den ene af dem, hvilket efterlod døren åben for undersøgelser af den anden sårbarhed.”

Sikkerhedsproblemet Windows PrintNightmare (CVE-2021-34527) vedrører Windows Print Spooler-tjenesten. Den største bekymring gælder specifikt ikke-administratorbrugere med adgang til lokale netværk, som kan indlæse deres egne printerdrivere. Det er ikke længere et problem.

“Efter installation af denne [update] og senere Windows-opdateringer kan brugere, der ikke er administratorer, kun installere signerede printerdrivere til en printerserver”, forklarede Microsoft. “Administratoroplysninger vil fremover være påkrævet for at installere usignerede printerdrivere på en printerserver.”

Der er stadig et sikkerhedsproblem

Alligevel er der stadig et sikkerhedsproblem. Windows PrintNightmare-patchen tager kun fat på en del af problemet. Det drejer sig om “Remote Code Execution (RCE via SMB og RPC) varianter af PrintNightmare og ikke Local Privilege Escalation (LPE) varianten”, sagde CERT/CC sårbarhedsanalytiker Will Dormann til THN. Dette ville gøre det muligt for angribere at misbruge sidstnævnte og derefter opnå systemprivilegier.

THN siger, at yderligere tests viser, at udnyttelser rettet mod fejlen kan omgå rettelserne og bringe fjernudførelse af kode tilbage. Men for at det kan ske, skal brugerne aktivere en specifik Windows-politik, Point and Print Restrictions.

“Point and Print er ikke direkte relateret til denne sårbarhed, men teknologien svækker den lokale sikkerhedstilstand på en sådan måde, at udnyttelse vil være mulig,” forklarede Microsoft.

I THN-rapporten bemærkes det, at en løsning er at aktivere sikkerhedsprompts for Point and Print. Begrænsning af printerdriverinstallationsprivilegier til administratorer vil øge sikkerheden yderligere.