Seznam důležitých kybernetických hrozeb a událostí za období 23. – 30. 6. 2021.
Název: PrintNightmare zranitelnost ve Windows Pint Spooleru
Technologie: Windows Print Spooler
Důležitost: Vysoká (8.8)
CVE: CVE-2021-1675, 34527
Popis: Zranitelnosti umožňují zneužití print spooleru k eskalaci oprávnění a vzdálenému spuštění škodlivého kódu (v rámci instalace ovladače k tiskárně). Oprava byla rozšířena o instalaci opravy zranitelnosti CVE-2021-34527 s tím, že po instalaci je třeba provést ještě následující kontrolu:
- In ALL cases, apply the CVE-2021-34527 security update. The update will not change existing registry settings
- After applying the security update, review the registry settings documented in the CVE-2021-34527 advisory
- If the registry keys documented do not exist, no further action is required
- If the registry keys documented exist, in order to secure your system, you must confirm that the following registry keys are set to 0 (zero) or are not present:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)
- UpdatePromptSettings = 0 (DWORD) or not defined (default setting)
Doporučení: Provést aktualizaci v nejbližším servisním okně; vypnout print spoolery na serverech, kde nejsou potřebné
Zdroje: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527, https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675, https://support.microsoft.com/cs-cz/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7, https://securityaffairs.co/wordpress/119789/uncategorized/microsoft-rolled-out-emergency-update-for-windows-printnightmare-zero-day.html
Název: Zranitelnost SecureBoot na zařízeních Dell
Technologie: Laptopy a PC Dell
Důležitost: Vysoká (8.3)
CVE: CVE-2021-21571, 21572, 21573, 21574
Popis: Zranitelnosti umožňují RCE v pre-boot prostředí a je tak možné provést útok na převzetí kontroly nad zařízením. První z chyb spočívá v nedostatečné kontrole připojení komponenty BIOSConnect, která umožňuje ověření připojení pomocí nevalidního certifikátu. Následuje zneužití jedné z dalších zranitelností typu memory overflow. Seznam zranitelné techniky je dostupný zde: https://www.dell.com/support/kbdoc/cs-cz/000188682/dsa-2021-106-aktualizace-zabezpe%c4%8den-iacute-klientsk-eacute-platformy-dell-pro-v-iacute-ce-chyb-zabezpe%c4%8den-iacute-ve-funkc-iacute-ch-supportassist-biosconnect-a-https-boot.
Doporučení: Provést update BIOSu na všech zranitelných zařízeních
Zdroje: https://threatpost.com/dell-bios-attacks-rce/167195/, https://www.dell.com/support/kbdoc/cs-cz/000188682/dsa-2021-106-aktualizace-zabezpe%c4%8den-iacute-klientsk-eacute-platformy-dell-pro-v-iacute-ce-chyb-zabezpe%c4%8den-iacute-ve-funkc-iacute-ch-supportassist-biosconnect-a-https-boot,