Microsoft vydal mimořádnou aktualizaci KB5004945 pro Windows 10. Řeší novou „zero-day“ zranitelnost CVE-2021-34527 označovanou jako PrintNightmare, jež je aktivně zneužívána útočníky k získání oprávnění a vzdálenému spuštění kódu na postižených počítačích.
Tato funkce je ve výchozím nastavení povolena ve všech počítačích se systémem Windows, včetně edic Home a Pro, a útočníci ji mohou zneužít ke vzdálenému spuštění kódu. V případě zneužití v rámci podnikové sítě by tak útočníci mohli získat úplný přístup k řadiči domény a instalovat na počítače malware.
Bohužel vydaná aktualizace tento problém příliš neřeší, protože se s určitým úsilím dá obejít. Navíc, zmíněná aktualizace dělá zásahy do systému, které v některých případech vedou opět do „modré smrti“.
Problém je to hlavně v podnikových sítích, kde útočník skrz již aktivní malware na stanici v kontextu neprivilegovaného uživatele může provádět RCE pod LocalSystem na serverech, v tom nejhorším případě DC, což efektivně znamená kompromitaci AD domény.
Momentální patche nejsou pro opravení chyby dostačující a je tedy pravděpodobné, že bude chyba hojně využívána. Doporučujeme tedy: vypnout službu zařazování tisku pro všechny počítače se systémem Windows v síti, přísně omezit přístup k síti pro počítače, které nemohou mít vypnuté služby zařazování tisku v počítačích, kde je zařazovač tisku spuštěn, ale není vyžadován. Vypněte službu a nechejte ji vypnutou i po zpřístupnění opravy pro tuto chybu zabezpečení.
Naši technici jsou připraveni vám pomoci!
KONTAKT
Ing. Filip Lang, CEH, MCSA, MCITP, MCTS, MCP
Vedoucí oddělení
Implementace
+420 724 707 417
filip.lang@ictnwt.cz