CVE-2021-47985: Sårbarhed i Brother SAPSprint 7.60
Sårbarhed i Brother SAPSprint 7.60 lader lokale brugere overtage fuld kontrol over Windows-computeren.
Hvad er det?
Brother SAPSprint 7.60 indeholder en fejl kaldet ‘unquoted service path’ (en ukorrekt angivet filsti i Windows-tjenesten). Det betyder, at Windows ikke ved præcis, hvilken programfil den skal starte, når SAPSprint-tjenesten kører. En angriber kan udnytte dette ved at placere et skadeligt program på en bestemt placering på computeren. Næste gang tjenesten starter — for eksempel ved genstart — kører Windows utilsigtet det skadelige program i stedet for det rigtige.
Hvem rammer det?
Virksomheder der bruger Brother SAPSprint version 7.60 på Windows-computere. SAPSprint er software der bruges til at koble SAP-forretningssystemer (fx SAP ERP) til printere. Sårbarheden rammer dig, hvis dine medarbejdere printer dokumenter direkte fra SAP via en Windows-maskine med denne software installeret.
Hvad kan ske?
En angriber der allerede har adgang til computeren som en almindelig bruger — fx en medarbejder eller en hacker der har fået fodfæste via phishing — kan opgradere sine rettigheder til fuld systemkontrol (LocalSystem). Med LocalSystem-rettigheder kan angriberen:
- Installere ransomware eller anden malware på hele computeren
- Stjæle gemte adgangskoder, dokumenter og forretningsdata
- Slette eller manipulere filer og systemindstillinger
- Bruges som springbræt til at angribe andre computere på dit netværk
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.8 ud af 10 (Alvorlig) af NVD. Den kræver, at angriberen allerede er logget ind på computeren som en normal bruger — det kræver altså ikke adgang udefra direkte. Til gengæld er angrebet teknisk set nemt at udføre, og konsekvenserne er fulde: angriberen opnår total kontrol over systemet (høj fortrolighed, høj integritet og høj tilgængelighed er alle kompromitteret). I praksis betyder ‘lokal adgang’ ikke nødvendigvis fysisk tilstedeværelse — en medarbejder, en fremmed via fjernadgang eller en angriber der er kommet ind via phishing kan alle udnytte dette.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Identificér om du er ramt: Bed din IT-ansvarlige tjekke, om Brother SAPSprint version 7.60 er installeret på nogen af jeres Windows-computere.
- Søg efter opdatering: Kontakt Brother eller tjek Brothers supportside for en opdateret version af SAPSprint der retter fejlen. Opdatér straks hvis en patch er tilgængelig.
- Begræns brugerrettigheder: Sørg for at medarbejdere ikke har administratorrettigheder på deres daglige arbejdscomputer — dette mindsker skaden ved angreb der kræver lokal adgang.
- Overvåg uventede programmer: Bed IT om at tjekke, om der ligger ukendte programmer i ‘Program Files’-mapperne på de berørte computere.
- Planlæg en gennemgang: Lav en plan for løbende at holde jeres installerede software opdateret, særligt software der kører som systemtjenester i Windows.
Opdatér inden for 30 dage
Vi anbefaler, at du hurtigst muligt får kortlagt om SAPSprint 7.60 er i brug hos jer, og om en opdateret version er tilgængelig fra Brother. Hvis ingen patch endnu er frigivet, bør du midlertidigt begrænse, hvem der har lokal adgang til de berørte computere, og sikre at brugere kun har de rettigheder de har brug for. Kontakt os gerne, hvis du vil have hjælp til at vurdere jeres eksponering eller gennemføre de nødvendige ændringer.
Tidslinje
Konkrete eksempler
Intern medarbejder opgraderer sine rettigheder
En medarbejder med en normal brugerkonto på sin arbejdscomputer opdager, at SAPSprint 7.60 er installeret. Han placerer et lille program med navnet ‘Program.exe’ i roden af ‘C:Program Files’, som Windows fejlagtigt starter i stedet for SAPSprint næste gang computeren genstartes. Programmet kører med fulde systemrettigheder og giver medarbejderen adgang til at læse alle filer og ændre systemindstillinger — uden at IT-afdelingen opdager det.
Angriber med fjernadgang via phishing
En angriber sender en phishing-mail til en medarbejder der arbejder med SAP. Medarbejderen klikker på et link og installerer ubevidst et fjernadgangsprogram. Angriberen har nu adgang som den almindelige bruger — men ved hjælp af SAPSprint-sårbarheden placerer angriberen et skadeligt program i den korrekte mappeplacering. Ved næste genstart af computeren opnår angribrens malware fuld systemkontrol og kan sprede sig videre til andre maskiner på netværket.
Ransomware-angreb via lokal rettigheder
En angriber der har fået begrænset adgang til en SAP-printerserver via et kompromitteret servicekonti, udnytter SAPSprint-fejlen til at opnå LocalSystem-rettigheder. Med disse rettigheder installerer angriberen ransomware, der krypterer alle filer på serveren — herunder SAP-relaterede dokumenter og printjobs. Virksomheden mister adgangen til centrale forretningsfiler og tvinges til at betale løsesum eller gendanne fra backup.
Ofte stillede spørgsmål
Hvad er en 'unquoted service path'-fejl?
Det er en teknisk fejl i Windows-programmer, hvor stien til en programfil ikke er korrekt indrammet med anførselstegn. Windows leder så efter programmet på flere steder i filsystemet — og en angriber kan placere et skadeligt program på et af disse steder, som Windows så starter ved en fejl.
Er min virksomhed i fare, hvis medarbejderne ikke har administratorrettigheder?
Sårbarheden kræver, at angriberen har adgang som en almindelig bruger på computeren — ikke nødvendigvis administrator. Det betyder, at selv normale brugerkonti kan udgøre en risiko, hvis en medarbejder eller angriber med begrænset adgang udnytter fejlen til at opnå fuld systemkontrol. Det er dog stadig en god idé at fjerne unødvendige administratorrettigheder, da det hæver barren for andre angreb.
Hvad er SAPSprint, og har vi det?
SAPSprint er software udviklet af Brother, der gør det muligt at printe direkte fra SAP-systemer til printere via Windows. Hvis din virksomhed bruger SAP og printer dokumenter derfra, kan I have SAPSprint installeret. Bed din IT-ansvarlige søge efter programmet under ‘Programmer og funktioner’ i Windows på de computere der bruges til SAP-relaterede opgaver.
Skal vi stoppe med at bruge SAPSprint, indtil der kommer en opdatering?
Det er ikke nødvendigvis nødvendigt at stoppe helt, men du bør overveje risikoen. Sørg for at begrænse hvem der har adgang til de berørte computere, at brugere kun har de rettigheder de behøver, og at der ingen ukendte programmer ligger i ‘Program Files’-mapperne. Kontakt Brother for at høre om en opdateret version er på vej.
Kan en angriber udnytte dette udefra via internettet?
Nej — ikke direkte. Angriberen skal have lokal adgang til computeren. Men ‘lokal adgang’ kan opstå indirekte: fx hvis en medarbejder klikker på et phishing-link og derved giver en angriber fjernadgang til computeren. Risikoen er derfor ikke begrænset til fysisk tilstedeværelse.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Brother SAPSprint 7.60 contains an unquoted service path vulnerability in the SAPSprint service binary that allows local attackers to escalate privileges. Attackers can place a malicious executable in the Program Files directory path to be executed with LocalSystem privileges when the service starts automatically.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.