Beheer

Security
Xerox-printers

Exploitcode en afweer tegen open printergat Windows

Alle Windows-versies kwetsbaar, ook Windows 11, via legitieme printerdrivers.

© Xerox
19 juli 2021

Alle Windows-versies kwetsbaar, ook Windows 11, via legitieme printerdrivers.

De reeks ontdekte kwetsbaarheden in printerfunctionaliteit van Windows blijft escaleren qua impact. Securityonderzoekers hebben verdere, betere misbruikmogelijkheden ontdekt. Naast exploitcode waarmee gewone gebruikers zichzelf de diepgaande SYSTEM-rechten toe kunnen eigenen, duiken er nu ook tegenmaatregelen op. Een patch van Microsoft moet nog komen.

Microsoft is nog doende om te bepalen welke versies van Windows geraakt worden door het derde ernstige Windows-printergat (CVE-2021-34481) dat in de afgelopen vijf weken is onthuld. In het nog schaarse informatiebulletin spreekt de softwaremaker zijn dank uitspreekt aan onderzoeker Jacob Baines, die begin augustus op hackersconferentie DEF CON zijn ontdekking uiteenzet.

Printernachtmerrie houdt aan

Terwijl Baines in een reactie aan The Register zegt dat zijn printerkwetsbaarheid niet is gerelateerd aan de eerdere twee kwetsbaarheden in de Printer Spooler van Windows, hebben andere securityonderzoekers wel een link gelegd. Zo heeft Benjamin Delpy, maker van hack/securitytool Mimikatz, zich vastgebeten in de zogeheten #PrintNightmare-saga.

Deze securityonderzoeker heeft de afgelopen dagen misbruikmogelijkheden verder verkend. Hij kan nu lokale toegang krijgen door een gewone gebruiker te verheffen tot SYSTEM-rechten, die dieper gaan dan beheerdersrechten. Een enkele printerconnectie en legitieme printerdrivers volstaan daarbij; digitaal ondertekende malware of vervalste drivers zijn niet nodig. Delpy biedt een online-exploittest aan, waarbij hij de relatief kleine drivers van Kyocera heeft gebruikt. Zijn tests met drivers van fabrikanten als Canon, Epson, HP, Konica, Ricoh, Toshiba en Xerox blijken ook succesvol te zijn.

Ook Windows 11

De door Delpy uitgevogelde hackmogelijkheden werken volgens andere onderzoekers op alle Windows-versies die Microsoft momenteel officieel ondersteunt. Dit omvat naast Windows 10 en Windows Server in verschillende versies ook de bèta van Windows 11. Die aankomende nieuwe versie van het clientbesturingssysteem is voorzien van extra beveiligingsmogelijkheden, maar de aanwezige oude code voor printen op afstand blijkt daar 'doorheen' te gaan.

Afweer tegen misbruik van deze kwetsbaarheid in de Printer Spooler wordt nu ook ontwikkeld en online gedeeld. Beheerders kunnen om te beginnen al het uitgaande SMB-netwerkverkeer blokkeren. De nu beschikbare publieke exploitcode heeft namelijk verbinding met een kwaadaardige printerserver nodig, om daarmee systemen te hacken.

Printerservers whitelisten

Een andere manier om deze 'vierde aflevering van PrintNightmare' te blokkeren, is het dichttimeren van de PackagePointAndPrintServerList in Windows. Door middel van een group policy valt een lijst van goedgekeurde servers in te stellen waarvandaan printerdrivers geïnstalleerd mogen worden. Aanvalspogingen met kwaadaardige printerservers worden dan de pas afgesneden.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.