Názory k článku Postřehy z bezpečnosti: záplata PrintNightmare a příliš sdílné aplikace pro Android

Je tohle ono ? https://github.com/afwu/PrintNightmare

Ano, je. Jen tam uvádějí ještě původní CVE-2021-1675, ale tato nová díra, které odpovídá popisovaný způsob exploitace, má od čtvrtka nové označení CVE-2021-34527.

Tohle (1675) je opravené v červnovém kumulativním updatu. Jde o tohle:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Tam to zatím na patch nevypadá.

No a dnes máme ve WSUS out-of-band update KB5004947:
Updates a remote code execution exploit in the Windows Print Spooler service, known as “PrintNightmare”, as documented in CVE-2021-34527
Tím to snad bude vyřešeno.

Řešení PrintNightmare pomocí "vypnutí Print Spooler služby či vypnutí možnosti vzdáleného tisku pomocí Group Policy" má ovšem důsledky: buď se zbavíte možnosti tisku vůbec, nebo možnosti tisku mimo lokální tiskárnu. Vzhledem k tomu, že lokální tiskárny potkáte spíš doma, než ve firmě, tak i to druhé znamená, že nebudete tisknout.
Jediné skutečné řešení je tedy ten update.

Teoreticky by šlo zablokovat jen volání té děravé funkce (RpcAddPrinter­Driver), která pro běžný tisk není potřeba, ale pravděpodobně k tomu neexistuje nástroj/zařízení, které by umožňovalo tak jemnou filtraci DCE-RPC komunikace - co jsem kdy viděl L7 inspekci DCE-RPC na firewallech, tak tam se dalo filtrovat podle UUID interfacu, ale ne na úrovni konkrétní funkce.

Další možností je zakázat vzdálený přístup na print spooler (jeden z workaroundů), tiskárnu zpřístupnit přes LPD print service (dříve TCP/IP printing services), tj. protokolem LPR (515/tcp), který nevyužívá RPC, a klienty připojit na tu tiskárnu pomocí TCP/IP print monitoru, samozřejmě s omezenou funkčností - nestáhne se automaticky driver ze serveru, nenastaví se automaticky předvolby pro tisk podle nastavení na serveru a není vidět tisková fronta na serveru.

Tisknout budete samozřejmě dál, jen váš počítač nebo server nebude poskytovat tiskové služby ostatním počítačům. Což není žádný problém pro síťové tiskárny. Starší a nesíťové tiskárny mohou být doplněny print serverem. Hezký den.

To je řešení pro SOHO.
Jak toho máte víc, tak tiskárny (i síťové) nakonfigurujete na serveru, update driveru nebo změna se pak dělá taky jen na jednom místě. Uživatel jen na tiskárnu klikne a má ji nainstalovanou (a nepotřebuje k tomu administrátorské oprávnění). Takové tiskárny můžete instalovat i přes GrouPolicy v závislosti na umístění počítače.
Já mám na serveru cca 50 tiskáren a používá je kolem 400 počítačů.
Takže problém to je. Dnes naštěstí vyřešený out-of-band KB5004947 (vyžaduje restart - celkem podle očekávání).

To že to neumí nějaký admin v korporátu nastavit bez využití Windows jako pintserveru je jen problém technických znalostí onoho admina.

Máte něco srovnatelného (centrální správa, point-and-print, oprávnění)?
Vy byste to možná tiskárny nastavoval na každém počítači ručně, ale když jich máte 100 a (optimisticky) s jedním strávíte 10 minut, představuje to 2MD.
Sice o té situaci nic nevíte, ale pindáte, že to je "problém technických znalostí onoho admina".

Jaká je šance využití zranitelnosti za domácím firewall/NATem?

Pokud by útok měl přijít zvenku, tak na tom domácím firewallu s NATem by musel být nastavený portforwarding pro 135/tcp a dynamický RPC port služby Print Spooler, aby se útočník dostal ke zranitelné službě. Navíc, co jsem tak o PrintNightmare četl, je tam v cestě ještě ověření (stačí běžný uživatel), úplně anonymně se ta zranitelnost zneužít nedá.

Problém je to hlavně v podnikových sítích, kde útočník skrz již aktivní malware na stanici v kontextu neprivilegovaného uživatele může provádět RCE pod LocalSystem na serverech, v tom nejhorším případě DC, což efektivně znamená kompromitaci AD domény.

Oprava je venku pro W10 1809-21H1 a Server 2008, 2008 R2, 2012 R2 a 2019.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

Zatím není vydaná pro Server 2012 a 2016 (=W10 1607), těžko říct proč.

chybna linka v poslednej sekcii, tu je spravna:
https://thehackernews.com/2021/06/new-api-lets-app-developers.html

8. 7. 2021, 08:58 editováno autorem komentáře