MIRU Åtgärd: Kritisk sårbarhet i Microsoft Print Spooler Service [PrintNightmare CVE-2021-34527]

Nu i veckan uppdagades en allvarlig sårbarhet som finns i även helt uppdaterade Windows-servrar. En vanlig användare utan speciell behörighet kan via sin egen dator (med rätt kunskap) ta över Active Directory och hela serverparken.
Ingen av era användare skulle såklart göra det men om någon råkar klicka på exempelvis ett phishing-mail, eller redan har fått skadlig kod på sin dator, finns det risk att det händer.

Läs mer om den här: Kritisk sårbarhet i Microsoft Print Spooler Service [uppdaterad 2021-07-02) − www.cert.se

Det finns ingen patch från Microsoft i dagsläget men vi kommer uppdatera alla våra kunders system idag fredag 2 juli med en workaround tills Microsoft släppt en lösning på problemet.
Denna omvärldsövervakning, proaktivitet och respons är en stor del av vårt MIRU-koncept och vi jobbar dagligen med denna bevakning, bedömning och proaktivitet.

Det vår workaround gör är att ta bort SYSTEM-kontots rättigheter på mappen där Windows lagrar aktiva drivrutiner för skrivare. Inget i den dagliga driften ska påverkas men det kommer inte gå att lägga till nya drivrutiner.
Måste det ändå göras så kan spärren lätt tas bort, tillfälligt eller permanent. Men tills Microsoft släppt en patch är det bäst att ha den spärrad.

Ändringen gäller primärt bara servrar, klientdatorer är drabbade av samma sårbarhet men där gör sårbarheten inte lika stor skada som på en server såsom en domänkontrollant.

« Tillbaka
Scroll to Top