Har eksisteret siden Vista: Microsoft lukker alvorlig printer-sårbarhed

Den seneste omgang patches til Windows lukker en sårbarhed, der gør det muligt at kompromittere styresystemet via en printer-driver.

I anledning af patch-tirsdag har Microsoft lukket en sårbarhed i Windows, som gør det muligt for en angriber at få kontrol over styresystemet via en ondsindet printerdriver.

Det fortæller The Register.

Sårbarheden skal have været tilstede på alle udgaver af Windows-desktop siden Vista og Windows Server fra 2008. Sårbarheden, der har fået tildelt CVE-2016-3238, gør det muligt at kompromittere systemet, når printerdrivere af hensyn til brugervenligheden on-demand bliver forsøgt hentet og installeret.

CVE-2016-3238 - hos Microsoft MS16-087 - gør det muligt at skyde ondsindet kode ind i printer spooler-tjenesten, fordi tjenesten som følge af sårbarheden ikke validerer kode ordentligt.

Det er Nick Beauchesne fra virksomheden Vectra, der har opdaget og rapporteret sårbarheden til Microsoft. I en rimeligt pædagogisk video forklarer og demonstrerer chief security officer fra Vectra Gunter Ollmann sårbarheden.

Flere angrebsscenarier

Den åbner op for flere angrebsscenarier. Hvis en angriber befinder sig internt på en organisations netværk, kan en netværksprinter kompromitteres, så en ondsindet driver bliver sendt til brugere, der forsøger at anvende printeren.

Kompromitteringen af printeren kan ske ved at udnytte en sårbarhed på den. Men det kan også ske helt enkelt ved at logge sig ind på den via brugernavn og kodeord.

Det vil på den slags enheder ifølge Ollman ofte være sådan noget som admin/admin. Når driveren først er indlæst på printeren, risikerer alle Windows-systemer, der forsøger at anvende printeren, at blive inficerede af den ondsindede driver.

Da en printer-driver kører som en system-driver, så sker downloadningen og eksekveringen af den ondsindede kode uden validering på et system-niveau, oplyser Ollmann.

En anden mulighed for at inficere brugere, hvis en angriber har lokal adgang til netværket, er at sætte en falsk printer op. Altså en enhed, der umiddelbart bliver registreret som en netværksprinter på klientmaskiner, men som inficerer brugerne, når de forsøger at anvende den.

Via internettet

Også via internettet skulle det være muligt at udnytte sårbarheden til at kompromittering af upatchede Windows-systemer. Det kan foregå via en ondsindet hjemmeside og internet-protokoller som Internet Printer Protokol (IPP) og Web Point-and-Print-protokollen.

Og når først en brugers maskine er inficeret via den ondsindede hjemmeside, så kan en angriber bruge det kompromitterede system til at inficere andre enheder på lokalnetværket. Det vil sige, som ved scenariet med lokal-adgang, ved at distribuere den ondsindede kode fra en netværksprinter eller ved at spoofe en printer.

Beauchesne fra Vectra har ikke frigivet proof-of-concept-kode, der demonstrerer sårbarheden. Men Beauchesne har frigivet en detaljeret teknisk analyse af sårbarheden. Og ifølge The Register, så bør organisationer antage, at sårbarheden snart vil blive forsøgt udnyttet at kriminelle.

Hvis ikke det allerede er sket, så se at få patched. Og se eventuelt videoen fra Vectra også.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize