URL: https://www.overclockers.at/applications/aktuelle-sicherheitsluecken_238671/page_16 - zur Vollversion wechseln!
ZitatIn einem aktuellen Security Bulletin von Western Digital heißt es: "Western Digital hat festgestellt, dass einige My-Book-Live- und My-Book-Live-Duo-Geräte durch Ausnutzung einer Sicherheitslücke zur Ausführung von Remote-Befehlen kompromittiert wurden. In einigen Fällen hat diese Kompromittierung zu einem Werksreset geführt, der scheinbar alle Daten auf dem Gerät löscht."
Danke, jemand aus der Bekanntschaft wurde gewarnt und gebeten das Gerät bis auf weiteres vom Internet zu trennen.
Hat hier schon jemand Details rausgelesen?
Ich hoffe das Problem tritt nur ein wenn man Service Ports aus dem Internet erreichbar gemacht hat oder ist ihnen zb. eine Domäne abhanden gekommen?
Das Problem ist iirc eine pre-auth RCE ueber einen Bug in einem CGI-Programm in der Firmware. Ich schaetze mal, dass sich das My Book mittels UPnP darum kuemmern kann, dass es via Internet direkt am Webserver-Port erreichbar ist, was dann bei so einer Luecke zum Jackpot fuehrt. Aber das ist nur Sepkulation, recherchiert habe ich es nicht.
UPNP wär eine Erklärung, ja.
https://arstechnica.com/gadgets/202...k-live-devices/ZitatThe vulnerability is remarkable because it made it trivial to wipe what is likely petabytes of user data. More notable still was that, according to the vulnerable code itself, a Western Digital developer actively removed code that required a valid user password before allowing factory resets to proceed.
Tweet-URL: https://twitter.com/gentilkiwi/status/1410246348784422916?s=21
Danke für - mal wieder was mit gewaltig Reichweite.
Das da MS schweigt ist schon a Frechheit für sich
Falls jemand ein PS Script zum checken und fixen aller Memberserver im AD ohne händisch eine Liste zu erstellen benötigt:
Ich habe das Original Script von hier
Der Author des original Scripts ist: Grzegorz Tworek
Es wurde von mir nur um eine Zeile geändert um alle aktiven Server im AD zu fixen ohne händisch oder via externen File sich abzumühen.
Code:# get all active server names from AD $computers = Get-ADComputer -Filter 'Operatingsystem -like "*server*" -and enabled -eq "true"' -Properties Name | Select -ExpandProperty Name foreach ($computer in $computers) { Write-Host "Processing $computer ..." $service = Get-Service -ComputerName $computer -Name Spooler -ErrorAction SilentlyContinue if (!$service) { Write-Host "Cannot connect to Spooler Service on $computer. Skipping." -ForegroundColor Yellow continue } if ($service.Status -ne "Running") { Write-Host ("Service status is: """ + $service.Status + """. Skipping.") -ForegroundColor Yellow continue } $printers = (Get-WmiObject -class Win32_printer -ComputerName $computer) if (!$printers) { Write-Host "Cannot enumerate printers. Skipping." -ForegroundColor Yellow continue } $disableSpooler = $true foreach ($DriverName in ($printers.DriverName)) { if (($DriverName -notmatch 'Microsoft XPS Document Writer') -and ($DriverName -notmatch 'Microsoft Print To PDF')) { Write-Host " Printer found: $DriverName" -ForegroundColor Green $disableSpooler = $false } } if ($disableSpooler) { Write-Host "Only default printers found. Stopping and disabling spooler..." -ForegroundColor DarkCyan (Get-Service -ComputerName $computer -Name Spooler) | Stop-Service -Verbose Set-Service -ComputerName $computer -Name Spooler -StartupType Disabled -Verbose } else { Write-Host "Non-default printers found. Skipping." -ForegroundColor Green } }
Zitat aus einem Post von Viper780Danke für - mal wieder was mit gewaltig Reichweite.
Das da MS schweigt ist schon a Frechheit für sich
@dao: danke noch für die info
ich habs etwas angepasst damit es ansonsten auch zur auflistung genutzt werden kann und schneller durchläuft (durch schwenk auf Get-Printer statt der wmi methode)
Code:# get all active server names from AD $computers = Get-ADComputer -Filter 'Operatingsystem -like "*server*" -and enabled -eq "true"' -Properties Name | Select -ExpandProperty Name foreach ($computer in $computers) { Write-Host "Processing $computer ..." $service = Get-Service -ComputerName $computer -Name Spooler -ErrorAction SilentlyContinue if (!$service) { Write-Host "$($Computer): Cannot connect to Spooler Service on $computer. Skipping." -ForegroundColor Yellow continue } if ($service.Status -ne "Running") { Write-Host ("$($Computer): Service status is: """ + $service.Status + """. Skipping.") -ForegroundColor Yellow continue } $printers = (Get-Printer -ComputerName $computer) if (!$printers) { Write-Host "$($Computer): Cannot enumerate printers. Skipping." -ForegroundColor Yellow continue } $disableSpooler = $true foreach ($DriverName in ($printers.DriverName)) { if (($DriverName -notmatch 'Microsoft XPS Document Writer') -and ($DriverName -notmatch 'Microsoft Print To PDF') -and ($DriverName -notmatch 'Microsoft OneNote*')) { Write-Host "$($Computer): Printer found: $DriverName" -ForegroundColor Green $disableSpooler = $false } } if ($disableSpooler) { Write-Host "$($Computer): Only default printers found. Stopping and disabling spooler..." -ForegroundColor DarkCyan (Get-Service -ComputerName $computer -Name Spooler) | Stop-Service -Verbose -WhatIf Set-Service -ComputerName $computer -Name Spooler -StartupType Disabled -Verbose -WhatIf } else { Write-Host "$($Computer): Non-default printers found. Skipping." -ForegroundColor Green } }
Code:Get-Printer | Where { ($_.DriverName -notmatch 'Microsoft XPS*') -and ($_.DriverName -notmatch 'Microsoft Print*') -and ($_.DriverName -notmatch 'Microsoft OneNote*') } | select DriverName -Unique
doppelpost aber ich glaub für einen zweiten workaround ists in ordnung:
SYSTEM die Modify Rechte aufs Printerverzeichnis verweigern
https://blog.truesec.com/2021/06/30...-not-available/
Danke für's Teilen des workarounds! Werden wir bis zum Patch auf jenen Servern, die drucken müssen, wohl so machen.
Ich habe das Script um die Acl Änderung erweitert falls es jemand hilft.
Ein Log wird jetzt auch geschrieben und kann automatisch via Mail übermittelt werden (sofern ein Relay existiert).
Code:# Mailconfig $From = "john.doe@cocklovers.at" $To = "sam@ireadyouremails.at" $Attachment = "c:\temp\fix_printernightmare.log" $Subject = "Report for PrinterNightmare CVE-2021-1675 temp fix" $Body = "<h2>See attached Logfile!</h2><br><br>" $Body += "please store/save the attached logfile!" $SMTPServer = "your.mamasmailserver.at" $SMTPPort = "25" # Enable Mailreport $SendMailreport = $true # remove old log if (Test-Path c:\temp\fix_printernightmare.log) { Remove-Item c:\temp\fix_printernightmare.log } #start logging Start-Transcript -Path "c:\temp\fix_printernightmare.log" Write-Host "start logging" $start_time = Get-Date $computers = Get-ADComputer -Filter 'Operatingsystem -like "*server*" -and enabled -eq "true"' -Properties Name | Select -ExpandProperty Name foreach ($computer in $computers) { Write-Host "Processing $computer ..." $service = Get-Service -ComputerName $computer -Name Spooler -ErrorAction SilentlyContinue if (!$service) { Write-Host "Cannot connect to Spooler Service on $computer. Skipping." -ForegroundColor Yellow continue } if ($service.Status -ne "Running") { Write-Host ("Service status is: """ + $service.Status + """. Skipping.") -ForegroundColor Yellow continue } $printers = (Get-WmiObject -class Win32_printer -ComputerName $computer) if (!$printers) { Write-Host "Cannot enumerate printers. Skipping." -ForegroundColor Yellow continue } $disableSpooler = $true foreach ($DriverName in ($printers.DriverName)) { if (($DriverName -notmatch 'Microsoft XPS Document Writer') -and ($DriverName -notmatch 'Microsoft Print To PDF') -and ($DriverName -notmatch 'Microsoft OneNote*')) { Write-Host " Printer found: $DriverName" -ForegroundColor Green $disableSpooler = $false } } if ($disableSpooler) { Write-Host "Only default printers found. Stopping and disabling spooler..." -ForegroundColor DarkCyan (Get-Service -ComputerName $computer -Name Spooler) | Stop-Service -Verbose -WhatIf Set-Service -ComputerName $computer -Name Spooler -StartupType Disabled -Verbose -WhatIf } else { Write-Host "Non-default printers found. Skipping." -ForegroundColor Green #src: [url]https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/[/url] Write-Host "Fixing spooler directory permissions " -ForegroundColor Yellow #set directory permissions $Path = "C:\Windows\System32\spool\drivers" $Acl = Get-Acl $Path $Ar = New-Object System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny") $Acl.AddAccessRule($Ar) Set-Acl $Path $Acl } } Stop-Transcript if ($SendMailreport -eq $true){ Send-MailMessage -From $From -to $To -Subject $Subject -Body $Body -BodyAsHtml -SmtpServer $SMTPServer -Port $SMTPPort -Attachments $Attachment}
mittlerweile gibts einen eigenen CVE Artikel dazu von MS
https://msrc.microsoft.com/update-g.../CVE-2021-34527
sagt aber noch ned viel aus aktuell
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024