A CVE-2021-34527 (PrintNightmare) sérülékenység megértése

Ebben a bejegyzésben a CVE-2021-34527 azonosítójú, közismert nevén „PrintNightmare” sérülékenységet vizsgáljuk meg. Ez a kritikus biztonsági rés a Windows Print Spooler szolgáltatást érinti, és lehetőséget ad távoli kódfuttatásra.

Mi ez a sérülékenység?

A CVE-2021-34527 egy távoli kódfuttatási (Remote Code Execution – RCE) sérülékenység, amelyet a Windows Print Spooler szolgáltatás hibásan kezelt, emelt jogosultságú fájlműveletei okoznak. Sikeres kihasználás esetén a támadó tetszőleges kódot futtathat SYSTEM jogosultságokkal, ezzel teljes mértékben átveheti az irányítást az érintett rendszer felett.

Hogyan működik?

A Print Spooler szolgáltatás felelős a nyomtatási feladatok kezeléséért Windows rendszeren. Ez a sérülékenység lehetővé teszi a támadó számára, hogy rosszindulatú nyomtató-illesztőprogramok vagy spool fájlok manipulálásával kódot futtasson a célrendszeren. Ez programok jogosulatlan telepítéséhez, adatmódosításhoz vagy új, teljes jogosultságú felhasználói fiókok létrehozásához vezethet.

Kik érintettek?

Az alábbi rendszerek érintettek:

• Windows Server 2012
• Windows Server 2016
• Windows 10, 1607-es verzió

Ha ilyen rendszert használsz, haladéktalanul érdemes megtenni a szükséges védelmi lépéseket.

Enyhítési lépések

A CVE-2021-34527 elleni védelem érdekében:

1. Telepítsd a legfrissebb biztonsági frissítéseket
   A Microsoft kiadta a hibát javító frissítéseket. A részletekért tekintsd meg a biztonsági frissítések táblázatát.

2. Ellenőrizd a beállításjegyzéket (registry)
   Győződj meg róla, hogy az alábbi kulcsok értéke 0, vagy hogy nem is léteznek (ami az alapértelmezett és biztonságos állapot):

   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
     • NoWarningNoElevationOnInstall = 0 (DWORD) vagy nincs definiálva
     • UpdatePromptSettings = 0 (DWORD) vagy nincs definiálva

   Megjegyzés: Ezek a kulcsok alapértelmezetten nem léteznek, így biztonságosnak számítanak.

3. Ellenőrizd a Csoportházirend (Group Policy) beállításokat
   Győződj meg arról, hogy a házirendek megfelelnek a Microsoft által javasolt beállításoknak. Részletek a Gyakran ismételt kérdések szekcióban találhatók.

Fontos: Ha a NoWarningNoElevationOnInstall értéke 1, az a rendszer sérülékenységét jelenti.

Hivatkozott források

• Microsoft biztonsági közlemény – CVE-2021-34527
• Packet Storm Security – Távoli DLL injekció a Print Spooleren keresztül

Exploit / PoC (Proof of Concept):

• GitHub – nemo-wq
• GitHub – m8sec
• GitHub – hlldz

Források

• https://cveawg.mitre.org/api/cve/CVE-2021-34527
• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-34527
• https://github.com/nemo-wq/PrintNightmare-CVE-2021-34527
• https://github.com/m8sec/CVE-2021-34527