Viktig melding om sårbarhet i Windows

Printnightmare:

Vi har fortsatt å implementere alle anbefalte tiltak fra Microsoft vedrørende Print Spooler sårbarheter. For de fleste servere er de sårbarhetene kjent som PrintNightmare nå sikret gjennom en kombinasjon av tiltak. Resterende vil oppdateres i løpet av kommende helg.

Imidlertid ble det 15.7 annonsert en ny alvorlig sårbarhet i Print Spooler: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481

Vi fortsetter derfor løpende overvåkning av denne CVE. Dersom denne sårbarheten eskalerer videre fremover før Microsoft tilbyr en rettelse, minner vi våre kunder om at et mulig tiltak kan være nedstenging av printfunksjon.

Sårbarheten er avhengig av å utnyttes av en pålogget brukerkonto. Vi understreker derfor igjen viktigheten av at alle brukere undersøker mail, vedlegg m.m. nøye før åpning for å unngå kompromittering.

Kaseya:

Vi har til nå ikke detektert kompromittering av Kaseya etter å ha gjennomført alle analyser anbefalt av leverandør og andre sikkerhetskilder. Vi fortsetter med iverksetting av alle anbefalte sikkerhetstiltak før gjenåpning av tjenesten. I tillegg til dette har vi besluttet å iverksette egne, utvidete tiltak for å sikre at gjenåpning og videre drift kan skje med minst mulig risiko.

Tiltakene tar litt tid å verifisere. Vi ber derfor om forståelse for at gjenåpning utsettes til neste uke.

Ny oppdatering om Windows:

Braathe Gruppen har oppdatert servere med de sikkerhetsoppdateringen Microsoft har lansert til nå. Det antas at Microsoft snart vil komme med en ny oppdatering som retter på teknisk feil med etikettskrivere. Når denne er tilgjengelig så vil samtlige systemer oppdateres på nytt, fortløpende.

MERK: Oppdateringen anses som en “Hasteroppdatering”. Oppdateringen vil derfor bli installert utenom normalt servicevindu (torsdagskvelder) og resultere i omstart av server. Omstart vil i så fall bli lagt til kveld/natt. Dersom deres organisasjon har særskilte krav til når omstart kan foregå ber vi dere ta kontakt med support@braathe.no

Kaseya har nå lansert sikkerhetsoppdatering som skal adressere kjente sårbarheter. I tillegg er det kommet utvidete muligheter for å skanne og overvåke sikkerheten på Kaseya servere.

Braathe Gruppen er i prosess med å teste og evaluere disse og andre sikkerhetsforbedringer. Vi gjør samtidig våre egne risikovurderinger som vil danne grunnlag for gjenåpning av tjenestene. Dersom vi ikke treffer på noen nye bekymringer underveis antar vi Kaseya tjenesten vil aktiveres igjen i løpet av uken.

Følg videre med på https://status.braathe.no/
Vi oppdaterer saken fortløpende. Husk at du kan abonnere på varsling via e-post inne på vår statusside.

Kaseya
Vi jobber fortsatt med å få løsningen opp, og følger alle råd og anbefalinger fra Kaseya. Vi har også utført scan av systemene for å avdekke eventuelle kompromittering. Pr. nå har vi ingen indikasjon på kompromittering. Vi avventer endelig sikkerhetsfix fra Kaseya, frem til da vil løsningen fortsatt være deaktivert.

Print
Microsoft har sluppet sikkerhetsoppdatering for alle systemer. Vi oppfordrer alle kunder til å oppdatere sine systemer gjennom Windows Update. Vi erfarer også at enkelte etikettskrivere kan slutte å virke etter sikkerhetsoppdatering. Dersom deres virksomhet er avhengig av løpende bruk av etikettskriver ber vi dere ta kontakt med support@braathe.no for videre tiltak.

Følg videre med på https://status.braathe.no/
Vi oppdaterer saken fortløpende. Husk at du kan abonnere på varsling via e-post inne på vår statusside.

Microsoft har begynt å slippe patcher som er med på å løse utfordringene. Vi oppfordrer alle våre kunder til å følge med og oppdatere via Windows Update. Les FAQ for oppdateringer via Windows Update her.

Alle systemer administrert av oss vil fortløpende oppdateres. Har du spørsmål ta kontakt med oss.

Følg videre med på https://status.braathe.no/
Vi oppdaterer saken fortløpende. Husk at du kan abonnere på varsling via e-post inne på vår statusside.

Kaseya REvil

Vi fortsetter å overvåke situasjonen og følger tiltak og råd fra Kaseya. Det er foreløpig ingen permanent løsning på plass, inntil videre vil vi da fortsette å holde serverne avslått.

PrintNightmare

Vi fortsetter å overvåke situasjonen. Anbefalte tiltak i forbindelse med sårbarheten som kommer fra velkjente sikkerhetskilder og produsenter iverksettes fortløpende i påvente av endelig sikkerhetsoppdatering fra Microsoft

Følg videre med på https://status.braathe.no/
Vi oppdaterer saken fortløpende. Husk at du kan abonnere på varsling via e-post inne på vår statusside.

1. Hendelse
   1.7.2021 ble det klart at det var avdekket en sårbarhet i Windows Print Spooler som gjelder alle Windows versjoner på både Server og PC.
   Sårbarheten har fått tilnavnet «Print Nightmare» og under gitte forhold så kan sårbarheten åpne for kjøring av ondsinnet kode med forhøyede privilegier (System) på den lokale datamaskinen.
   Nærmere beskrivelser av sårbarheten finnes her: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
2. Konsekvenser
   Pr. 2.7.2021 09:00 er det ikke observert noen vellykkede angrep i forbindelse med sårbarheten i forbindelse med Braathe systemer
3. Øyeblikkelige tiltak
   Braathe Gruppen iverksatte tiltak ca. kl 15:00 1.7.2021 og ut over kvelden. Tiltak ble gjennomført i henhold til foreliggende råd fra sikkerhetskilder.
   Felles infrastruktur samt dedikerte kundesystemer ble gjennomgått med hensyn på råd om å stoppe Print Spooler og deaktivere denne på relevante systemer som forebyggende tiltak. Dette var fullført i løpet av kvelden.
   Det ble ikke vurdert som nødvendig å stanse Print Spooler som ville påvirket faktisk utskrift for sluttbrukere eller kundenes fagapplikasjoner. Dette overvåkes med hensyn på velkjente sikkerhetskilder og vil revurderes fortløpende.
4. Videre tiltak
   Situasjonen overvåkes kontinuerlig fra relevante sikkerhetskilder og produsenter. Videre tiltak vil iverksettes i
   henhold til den enhver tid foreliggende råd fra sikkerhetskilder og produsenter.
   Så snart Microsoft lanserer sikkerhetsoppdateringer som adresserer sårbarheten vil Braathe iverksette
   oppdateringer.
5. FAQ
   1. Bør jeg stanse Print Spooler tjenesten på mine klienter og servere?
      Foreløpig ser Braathe Gruppen ikke behov for å stanse Print Spooler tjenesten på overordnet nivå. Dette rådet kan imidlertid endre seg ettersom situasjonen tilsier det.
      Braathe Gruppen har forberedt løsninger for å kunne stanse Print Spooler på forskjellige systemer inkludert sluttbrukernes PC.
      Braathe Gruppen kan stanse Print Spooler for kunder på forespørsel. I praksis vil da all utskrift stanses for Kundens systemer. Kunde må selv vurdere virkning av dette.

Følg videre med på https://status.braathe.no/
Vi oppdaterer saken fortløpende. Husk at du kan abonnere på varsling via e-post inne på vår statusside.

Det har nylig blitt avdekket en sårbarhet i Windows som kan muliggjøre ekstern kjøring av kode. Sårbarheten klassifiseres som kritisk ettersom noen med onde hensikter kan bruke den til å overta Windows-maskiner (PC-er og servere) og dermed distribuere skadelig programvare gjennom nettverket.

Rent teknisk benyttes en sårbarhet i Windows Print Spooler (Utskriftskø), og da denne komponenten også tidligere har vært utsatt, kalles sårbarheten for PrintNightmare. Det jobbes iherdig fra mange hold for å få tettet sikkerhetshullet, men inntil videre er den generelle anbefalingen å stoppe og deaktivere printspoolertjenesten så snart som mulig.

Angrep kan typisk startes gjennom tilsynelatende uskyldige e-poster, og vi må derfor være proaktive og vil gjøre deg oppmerksom på følgende:

• Vær ekstra oppmerksom på e-post du mottar (varsle også organisasjonen din).
• Det kan bli behov for å stoppe og deaktivere spoolertjenester på servere uten nærmere varsel.
• Andre tiltak vil vurderes fortløpende.

Følg videre med på https://status.braathe.no/
Vi oppdaterer saken fortløpende. Du kan abonnere på varsling via e-post inne på vår statusside.