Beheer

Security
Windows

Cybercriminelen springen nu op Windows Print Spooler-gat

Microsoft-patch van februari lang niet overal geïnstalleerd.

© Microsoft
20 april 2022

Microsoft-patch van februari lang niet overal geïnstalleerd.

Cybercriminelen misbruiken nu actief een beveiligingsgat in Windows Print Spooler, waar in februari al een patch voor is verschenen. Niet alle Windows-systemen zijn voorzien van die patch, waardoor aanvallers hogere rechten kunnen verkrijgen op ongepatche computers. Voor deze actieve aanvallen waarschuwt nu de Amerikaanse Cybersecurity and Infratructure Security Agency (CISA).

Het gaat om CVE-2022-22718, wat een elevation of privilige-gat is. Kevin Breen, directeur van cyber threat research bij Immersive Labs, zei eerder tegenover The Register dat elevation of privilige-gaten een belangrijk onderdeel vormen in de aanvalsketen. "Als aanvallers eenmaal toegang hebben gekregen, gaan ze snel op zoek naar toegang op administrator-niveau zodat ze door het netwerk kunnen reizen, andere apparaten kunnen compromitteren en detectie kunnen omzeilen door security-tooling uit te schakelen."

Gatenkaas in printcomponent

In februari werden vier van dit soort gaten in Windows-component Print Spooler gedicht, waaronder dus CVE-2022-22718. Het gat in kwestie kreeg destijds een CVSS-score van 7,8 op een schaal van 10. Die hoge score is te danken aan Microsofts inschatting dat het waarschijnlijk is dat de fout misbruikt zou worden. Dat blijkt nu dus inderdaad het geval, waarop de CISA het gat toegevoegd heeft aan zijn catalogus van kwetsbaarheden die actief misbruikt worden.

De CISA geeft geen nadere informatie over wie het gat misbruikt en hoe vaak dit gebeurt. Wel raadt de organisatie aan om "prioriteit te geven aan de tijdige herstelwerkzaamheden". Oftewel: het installeren van de patch die in februari al is uitgekomen. Plus eventueel het nemen van beperkende maatregelen die Microsoft eerder heeft aangereikt. Dit betreft bijvoorbeeld het inperken van printmogelijkheden in Windows-omgevingen.

Aanhoudende PrintNightmare

Print Spooler kreeg afgelopen zomer veel aandacht na de zogeheten PrintNightmare-kwetsbaarheid, waar per ongeluk proof-of-concept (PoC) code voor opdook. Onderzoekers waren destijds bezig met onderzoek naar een ander gat in Print Spooler, dat vervolgens gedicht werd door Microsoft. De onderzoekers maakten na het verschijnen van die patch hun eigen bevindingen openbaar, inclusief PoC-code waarmee de misbruikmogelijkheden zijn te testen.

Achteraf bleek echter dat een deel van hun bevindingen over een heel ander gat in Windows' Print Spooler ging. Voor dát gat was toen nog geen patch beschikbaar. Hoewel de details en PoC-code snel weer ingetrokken werden, bleek de informatie al gekopieerd te zijn door aanvallers. Inmiddels is er een patch beschikbaar voor het andere gat, maar daarna kwamen uit verder onderzoek nog veel meer gaten op in de Print Spooler. In februari waren dat er dus vier, waar ook patches voor zijn uitgebracht.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.