En ny PrintNightmare-lignende sårbarhet har blitt oppdaget i Windows 10, noe som igjen forårsaker problemer for Print Spooler-tjenesten.
Det har vært et par tøffe uker i en verden av sikkerhetssårbarheter i Windows 10. Et utskriftskøproblem kalt PrintNightmare ble avslørt av en gruppe som trodde det allerede var rettet. Microsoft utstedte en patch utenfor båndet å fikse det. Det eneste problemet var at den kumulative oppdateringen faktisk ikke fikset det ordentlig.
Nå er det en annen Windows Print Spooler sårbarhet (via BleepingComputer) som er oppdaget. Sårbarheten er CVE-2021-34481, og sammendraget er som følger:
Det eksisterer et sikkerhetsproblem med rettighetsutvidelse når Windows Print Spooler-tjenesten utfører privilegerte filoperasjoner på feil måte. En angriper som klarer å utnytte dette sikkerhetsproblemet, kan kjøre vilkårlig kode med SYSTEM-rettigheter. En angriper kan da installere programmer; vise, endre eller slette data; eller opprett nye kontoer med fulle brukerrettigheter.
En angriper må ha muligheten til å kjøre kode på et offersystem for å utnytte dette sikkerhetsproblemet.
Løsningen for dette sikkerhetsproblemet er å stoppe og deaktivere Print Spooler-tjenesten.
Heldigvis ser ikke dette ut til å være fullt så alvorlig som PrintNightmare var og fortsatt er. Angrepsvektoren er lokal, noe som betyr at den dårlige aktøren som utnytter denne sårbarheten må ha tilgang til maskinen. Dette er imidlertid oppført som lav angrepskompleksitet og lave privilegier som kreves.
Microsoft sa ikke når en løsning vil være tilgjengelig for det nye Print Spooler-problemet. Patch Tuesday har nettopp passert, så det er litt for sent å fikse det for alle denne måneden. Selskapet kan gi ut en annen out-of-band-oppdatering hvis det vil, eller det kan fikse problemet i denne ukens valgfrie kumulative oppdateringer.
Hvis du tror at du kan bli berørt av dette problemet, anbefales det at du slår av Print Spooler-tjenesten. Selvfølgelig vil det føre til problemer med din evne til å skrive ut lokalt eller eksternt fra datamaskinen. Du kan slå av Print Spooler ved å kjøre følgende kommandoer i PowerShell:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled