Již jsme zde historicky psali o několika kritických zranitelnostech, jakými byly například chyby v procesorech, nebo poštovním systému Exchange. A nyní tu máme další podobně závažnou a zároveň známou. PrintNightmare.
V současné době jsou již k dispozici aktualizace znemožňující jednu z variant provedení potencionálního útoku. Ke kterým již existují dostupné PoC nástroje, zdrojové kódy i podpora ve standardní zbrojní výbavě útočníků jako například Mimikatz.
Zranitelnost v samotné službě tiskového systému je další genezí mnoha předcházejících, které se vzájemně doplňují.
Některé je možné zneužít vzdáleně, jiné lokálně, jiné poskytují autentizaci uživatele, další i práva systému. Zranitelnost je o to závažnější, že mnohé organizace mají tuto službu povolenou i na doménových řadičích, což může vést ke snadnější kompromitaci celé domény a prostředí.
Doporučujeme tedy prioritně po otestování nasadit aktualizace řešící zranitelnosti CVE-2021-1675 a CVE-2021-34527.
Společně s tím vypnout tiskovou službu na serverech, kde není zapotřebí. Omezit možnosti vzdáleného tisku či instalaci vzdálených tiskových ovladačů. Pokud je u klientů i serverů toto možné.
Pokud používáte Defender for Endpoint, nebo Defender for Identity (Microsoft Cloud App Security), potřebné podrobné instrukce k odstranění hrozby, i detekce případného zneužití již máte v prostředí připraveny.
Celý komiks, proč k nám byly tiskárny skutečně vyslány z pekla, najdete na Why I Believe Printers Were Sent From Hell To Make Us Miserable – The Oatmeal.
