Upozorňujeme na závažnou zranitelnost nazývanou PrintNightmare s označením CVE-2021-34527, která umožňuje útočníkovi s běžným uživatelským účtem vzdáleně převzít kontrolu nad serverem, na kterém běží služba Windows Print Spooler service. Tato služba ve výchozím nastavení běží na všech Windows serverech i klientech, včetně doménových řadičů. V praxi tak může útočník s běžným doménovým účtem získat kontrolu nad celou doménou Active Directory. Zranitelnost se týká všech verzí Windows 7 a vyšší, Windows Server 2008 a vyšší.
Patch na tuto zranitelnost byl vydán již dne 8. června 2021, avšak tato oprava není dostačující a zranitelnost je stále možné zneužít. Aktuálně neexistuje patch, který by tuto zranitelnost opravil. Na internetu byly již publikovány minimálně tři verze zdrojových kódů k proof-of-concept a je tak pravděpodobné, že tato zranitelnost bude hojně zneužívána. Jediná možnost mitigace je aktuálně vypnutí této služby.
Doporučujeme na všech strojích, na kterých je to možné, službu Windows Print Spooler vypnout do té doby, než bude vydána oprava na tuto zranitelnost.
https://blog.truesec.com/2021/06/30/exploitable-critical-rce-vulnerability-allows-regular-users-to-fully-compromise-active-directory-printnightmare-cve-2021-1675/
https://www.helpnetsecurity.com/2021/06/30/poc-cve-2021-1675/
https://www.blumira.com/cve-2021-1675/
https://www.rapid7.com/blog/post/2021/06/30/cve-2021-1675-printnightmare-patch-does-not-remediate-vulnerability/
Dne 6. července 2021 byl společností Microsoft vydán patch na zranitelnost PrintNightmare. Patch znemožňuje útočníkům exploitovat tuto zranitelnost vzdáleně, avšak lokálně je stále zneužitelná. Doporučujeme co nejdříve nainstalovat bezpečnostní aktualizaci KB5004945.
https://www.theverge.com/2021/7/6/22565868/microsoft-printnightmare-windows-print-spooler-service-emergency-patch-hotfix
https://www.bleepingcomputer.com/news/security/microsoft-pushes-emergency-update-for-windows-printnightmare-zero-day/