Kriittinen taustatulostuspalvelun haavoittuvuus Windows-versioissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen taustatulostuspalvelun haavoittuvuus Windows-versioissa

1. heinäkuuta 2021 klo 12.58, päivitetty 15. syyskuuta 2021 klo 15.57

Windows Print Spoolerista eli taustatulostuspalvelusta on löytynyt kriittinen haavoittuvuus CVE-2021-34527, joka mahdollistaa esimerkiksi toimialueen haltuunoton. Esimerkkikoodi hyväksikäytölle leviää verkossa, joten korjaavat tai rajoittavat toimenpiteet on tärkeää suorittaa pian. Microsoft on julkaissut korjaavan päivityksen, joka on syytä asentaa välittömästi. Kaikki tunnetut Print Spoolerin haavoittuvuudet on korjattu Microsoftin 14.9.2021 julkaisemissa päivityksissä.

Windows Print Spoolerissa eli taustatulostuspalvelussa oleva haavoittuvuus CVE-2021-34527 koskettaa laajasti tuettuja Windows käyttöjärjestelmiä Windows 7:sta 10:een ja Windows Server 2008:sta 2019:een. Microsoft julkaisi haavoittuvuudelle korjauksen 6.7. Hyväksikäyttökoodit leviävät hallitsemattomasti verkossa ja on varmaa, että ne ovat päätyneet jo hyökkääjien käyttöön. 

Haavoittuvuus koskettaa organisaatioita ja heidän IT-ylläpitäjiään. Yksityishenkilöiltä ei vaadita muita toimenpiteitä kuin korjauspäivityksen asentaminen.

Haavoittuvuuden avulla on mahdollista saada otettua toimialue haltuunsa minä tahansa toimialueen käyttäjänä ja esimerkiksi sen avulla levittää haittaohjelmaa organisaation verkossa. Tutkijat ovat testanneet verkossa saatavilla olevaa esimerkkikoodia päivitettyyn Windows Server 2019:een ja todenneet koodin ajamisen järjestelmään olevan mahdollista korotetuilla SYSTEM-oikeuksilla.

Vaikka Microsoft on julkaissut korjaavan päivityksen Print Spooler -haavoittuvuuteen CVE-2021-1675, on tärkeää ymmärtää, että se ei korjannut tätä uudempaa haavoittuvuutta CVE-2021-34527, jonka esimerkkikoodit ovat olleet jaossa vanhemmalla CVE-tunnisteella CVE-2021-1675. Microsoft ilmoitti 1.7.2021 uudelle haavoittuvuudelle tunnisteen CVE-2021-34527, jonka korjaus julkaistiin 6.7.  Microsoft tarjoaa sivuillaan (ulkoinen linkki) lisätietoja haavoittuvuuteen.

Päivitys 16.7.

Microsoft julkaisi 15.7.2021 haavoittuvuuden CVE-2021-34481, joka mahdollistaa käyttövaltuuksien korottamisen paikallisesti haavoittuvuuden avulla. Microsoft on julkaissut korjaavan päivityksen haavoittuvuuteen. 

Päivitys 17.8.

Microsoft julkaisi 11.8.2021 haavoittuvuuden CVE-2021-36958 joka mahdollistaa käyttövaltuuksien korottamisen paikallisesti haavoittuvuuden avulla. Haavoittuvuudelle ei toistaiseksi ole korjausta ja suosituksena on taas Print Spooler -palvelun käytöstä poistaminen.

Päivitys 14.9.

Microsoft julkaisi 14.9.2021 korjaukset kaikkiin tunnettuihin Print Spooler -haavoittuvuuksiin.

Bleeping Computer: Public Windows PrintNightmare 0-day exploit allows domain takeover (ulkoinen linkki)
Sophos: PrintNightmare, the zero-day hole in Windows – here’s what to do (ulkoinen linkki)
CERT Coordination Center: Microsoft Windows Print Spooler RpcAddPrinterDriverEx() function allows for RCE (ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

7. heinäkuuta 2021 klo 10.59 päivitetty tietoja Microsoftin 6.7. julkaisemasta korjaavasta päivityksestä.