Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Kriittinen taustatulostuspalvelun haavoittuvuus Windows-versioissa

Haavoittuvuus19/2021

Windows Print Spoolerista eli taustatulostuspalvelusta on löytynyt kriittinen haavoittuvuus CVE-2021-34527, joka mahdollistaa esimerkiksi toimialueen haltuunoton. Esimerkkikoodi hyväksikäytölle leviää verkossa, joten korjaavat tai rajoittavat toimenpiteet on tärkeää suorittaa pian. Microsoft on julkaissut korjaavan päivityksen, joka on syytä asentaa välittömästi. Korjaus ei kuitenkaan koske 15.7 julkaistua CVE-2021-34481 -haavoittuvuutta.

Windows Print Spoolerissa eli taustatulostuspalvelussa oleva haavoittuvuus CVE-2021-34527 koskettaa laajasti tuettuja Windows käyttöjärjestelmiä Windows 7:sta 10:een ja Windows Server 2008:sta 2019:een. Microsoft julkaisi haavoittuvuudelle korjauksen 6.7. Hyväksikäyttökoodit leviävät hallitsemattomasti verkossa ja on varmaa, että ne ovat päätyneet jo hyökkääjien käyttöön. 

Haavoittuvuus koskettaa organisaatioita ja heidän IT-ylläpitäjiään. Yksityishenkilöiltä ei vaadita muita toimenpiteitä kuin korjauspäivityksen asentaminen.

Haavoittuvuuden avulla on mahdollista saada otettua toimialue haltuunsa minä tahansa toimialueen käyttäjänä ja esimerkiksi sen avulla levittää haittaohjelmaa organisaation verkossa. Tutkijat ovat testanneet verkossa saatavilla olevaa esimerkkikoodia päivitettyyn Windows Server 2019:een ja todenneet koodin ajamisen järjestelmään olevan mahdollista korotetuilla SYSTEM-oikeuksilla.

Vaikka Microsoft on julkaissut korjaavan päivityksen Print Spooler -haavoittuvuuteen CVE-2021-1675, on tärkeää ymmärtää, että se ei korjannut tätä uudempaa haavoittuvuutta CVE-2021-34527, jonka esimerkkikoodit ovat olleet jaossa vanhemmalla CVE-tunnisteella CVE-2021-1675. Microsoft ilmoitti 1.7.2021 uudelle haavoittuvuudelle tunnisteen CVE-2021-34527, jonka korjaus julkaistiin 6.7.  Microsoft tarjoaa sivuillaan (Ulkoinen linkki) (ulkoinen linkki) lisätietoja haavoittuvuuteen.

Päivitys 16.7

Microsoft julkaisi 15.7 haavoittuvuuden CVE-2021-34481, joka mahdollistaa käyttövaltuuksien korottamisen paikallisesti haavoittuvuuden avulla. Haavoittuvuuteen ei ole toistaiseksi korjausta, vaan suosituksena on asentaa edelliset päivitykset ja poistaa Print Spooler pois käytöstä.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Paikallisesti

Vaikutukset

  • Käyttövaltuuksien laajentaminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
  • Ei päivitystä

Haavoittuvat ohjelmistot

Windows Print Spooler -palvelu Windows 7:sta 10:een ja Server 2008:sta 2019:een.

Tarkka listaus haavoittuvista versioista löytyy Microsoftin sivuilta (Ulkoinen linkki) (ulkoinen linkki)

15.7 julkaistuun haavoittuvuuteen CVE-2021-34481 ei vielä ole tarkennettu versioita.

Ratkaisu- ja rajoitusmahdollisuudet

6.7 ja 7.7. julkaistujen päivitysten asentaminen Microsoftin ohjeiden mukaisesti.

Microsoft on julkaissut ohjeet (Ulkoinen linkki) (ulkoinen linkki) päivityksen asentamiseksi ja  rajoittavien toimenpiteiden suorittamiseksi.

15.7 julkaistuun (Ulkoinen linkki) (ulkoinen linkki) CVE-2021-34481 -haavoittuvuuteen ohjeena on Print Spooler -palvelun käytöstä poistaminen.

päivitetty tietoja Microsoftin 6.7. julkaisemasta korjaavasta päivityksestä.

Päivitetty tietoja päivitysten osalta

Päivitetty muutamaa sanamuotoa

Lisätty linkki Microsoftin blogiin

Päivitetty uusi haavoittuvuustieto CVE-2021-34481:stä