[JustisCERT-varsel] [#045-2021] [TLP:CLEAR] 0-dagssårbarhet i Windows Print Spooler

JustisCERT ønsker å varsle om en sårbarhet i Windows sin Print Spooler tjeneste, CVE-2021-1675 med CVSS Score 7.8. Sårbarheten ble forsøkt rettet av Microsoft ved forrige «Patch Tuesday» (09.06.2021), men det har blitt oppdaget at tjenesten fremdeles er sårbar selv på systemer som har installert Microsoft Security Update for juni 2021. Sårbarheten tillater angriper å kjøre vilkårlig kode for å tilegne seg full tilgang på et berørt Windows-system. JustisCERT er kjent med at utnyttelseskode er tilgjengelig og vi forventer å se aktiv utnyttelse av sårbarheten i tiden fremover. [1] [2]

Frem til Microsoft lanserer nødvendig sikkerhetsoppdatering, anbefaler JustisCERT at Print Spooler tjenesten stoppes og «Startup type/Oppstartstype» settes til «Disabled/Deaktivert» på alle servere som ikke er print-servere.

Berørte produkter er:

• Windows klienter og servere der Print Spooler tjenesten har status «Running/Kjører»

 
 
Anbefalinger:

• Stopp Print Spooler tjenesten og sett «Startup type/Oppstartstype» til «Disabled/Deaktivert» på alle servere som ikke benyttes som print-servere (har print-server rollen installert) 
• Ikke eksponer servere med en sårbar og aktivert («Running/Kjører») Print Spooler tjeneste mot internett
• Installer oppdateringer som publiseres av Microsoft den 13.07.2021

Kilder:
[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675 
[2] https://nvd.nist.gov/vuln/detail/CVE-2021-1675