Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Kriittinen taustatulostuspalvelun haavoittuvuus Windows-versioissa

Haavoittuvuus19/2021

Windows Print Spoolerista eli taustatulostuspalvelusta on löytynyt kriittinen haavoittuvuus CVE-2021-34527, joka mahdollistaa esimerkiksi toimialueen haltuunoton. Esimerkkikoodi hyväksikäytölle leviää verkossa, joten korjaavat tai rajoittavat toimenpiteet on tärkeää suorittaa pian. Microsoft on julkaissut korjaavan päivityksen, joka on syytä asentaa välittömästi. Kaikki tunnetut Print Spoolerin haavoittuvuudet on korjattu Microsoftin 14.9.2021 julkaisemissa päivityksissä.

Windows Print Spoolerissa eli taustatulostuspalvelussa oleva haavoittuvuus CVE-2021-34527 koskettaa laajasti tuettuja Windows käyttöjärjestelmiä Windows 7:sta 10:een ja Windows Server 2008:sta 2019:een. Microsoft julkaisi haavoittuvuudelle korjauksen 6.7. Hyväksikäyttökoodit leviävät hallitsemattomasti verkossa ja on varmaa, että ne ovat päätyneet jo hyökkääjien käyttöön. 

Haavoittuvuus koskettaa organisaatioita ja heidän IT-ylläpitäjiään. Yksityishenkilöiltä ei vaadita muita toimenpiteitä kuin korjauspäivityksen asentaminen.

Haavoittuvuuden avulla on mahdollista saada otettua toimialue haltuunsa minä tahansa toimialueen käyttäjänä ja esimerkiksi sen avulla levittää haittaohjelmaa organisaation verkossa. Tutkijat ovat testanneet verkossa saatavilla olevaa esimerkkikoodia päivitettyyn Windows Server 2019:een ja todenneet koodin ajamisen järjestelmään olevan mahdollista korotetuilla SYSTEM-oikeuksilla.

Vaikka Microsoft on julkaissut korjaavan päivityksen Print Spooler -haavoittuvuuteen CVE-2021-1675, on tärkeää ymmärtää, että se ei korjannut tätä uudempaa haavoittuvuutta CVE-2021-34527, jonka esimerkkikoodit ovat olleet jaossa vanhemmalla CVE-tunnisteella CVE-2021-1675. Microsoft ilmoitti 1.7.2021 uudelle haavoittuvuudelle tunnisteen CVE-2021-34527, jonka korjaus julkaistiin 6.7.  Microsoft tarjoaa sivuillaan (Ulkoinen linkki) (ulkoinen linkki) lisätietoja haavoittuvuuteen.

Päivitys 16.7.

Microsoft julkaisi 15.7.2021 haavoittuvuuden CVE-2021-34481, joka mahdollistaa käyttövaltuuksien korottamisen paikallisesti haavoittuvuuden avulla. Microsoft on julkaissut korjaavan päivityksen haavoittuvuuteen. 

Päivitys 17.8.

Microsoft julkaisi 11.8.2021 haavoittuvuuden CVE-2021-36958 joka mahdollistaa käyttövaltuuksien korottamisen paikallisesti haavoittuvuuden avulla. Haavoittuvuudelle ei toistaiseksi ole korjausta ja suosituksena on taas Print Spooler -palvelun käytöstä poistaminen.

Päivitys 14.9.

Microsoft julkaisi 14.9.2021 korjaukset kaikkiin tunnettuihin Print Spooler -haavoittuvuuksiin.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Paikallisesti

Vaikutukset

  • Käyttövaltuuksien laajentaminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Windows Print Spooler -palvelu Windows 7:sta 10:een ja Server 2008:sta 2019:een.

Tarkka listaus haavoittuvista versioista löytyy Microsoftin sivuilta (Ulkoinen linkki) (ulkoinen linkki)

11.8. julkaistuun haavoittuvuuteen CVE-2021-36958 ei vielä ole tarkennettu versioita.

Ratkaisu- ja rajoitusmahdollisuudet

Päivitysten asentaminen Microsoftin ohjeiden mukaisesti.

päivitetty tietoja Microsoftin 6.7. julkaisemasta korjaavasta päivityksestä.

Päivitetty tietoja päivitysten osalta

Päivitetty muutamaa sanamuotoa

Lisätty linkki Microsoftin blogiin

Päivitetty uusi haavoittuvuustieto CVE-2021-34481:stä

Päivitetty uudet haavoittuvuustiedot ajan tasalle.

Lisätty tieto 14.9. julkaistusta päivityksestä.