Half succes voor tweede patchpoging printergat in Windows

De noodpatch voorkomt wel het uitvoeren van kwaadaardige code op afstand (remote code execution, RCE). Alleen is het vanaf een lokaal account verkrijgen van diepgaande SYSTEM-rechten (local privilege esacalation, LPE) nu niet verholpen. Bepaalde versies van Windows, client én server, zijn in standaardconfiguraties nog steeds kwetsbaar.

Dacht gedicht

Kort na het uitlekken van details en proof-of-concept (PoC) code voor een kritieke kwetsbaarheid in Windows heeft Microsoft nu een zogeheten out-of-band patch uitgebracht. Dat lapmiddel verschijnt dus buiten de normale cyclus van Patch Tuesday; de tweede dinsdag van elke maand waarop Microsoft patches en updates uitbrengt. Het uitlekken van het gat in de Print Spooler van Windows is gevolgd op een eerste patch voor die ingebouwde functionaliteit.

De aanvankelijk uitgebrachte patch is echter voor een andere kwetsbaarheid (CVE-2021-1675) dan degene die vervolgens per ongeluk is onthuld. Ontdekkers van deze tweede kwetsbaarheid dachten dat hun verantwoord gemelde vondst was gefixt in de patch van afgelopen Patch Tuesday (van juni). Dit was dus niet het geval, zo bleek nadat ze hun bevindingen (compleet met PoC-code) hadden geopenbaard.

Grootste gevaar aangepakt

Nu heeft Microsoft gauw een tweede patch voor de Print Spooler uitgebracht, voor de zeroday-kwetsbaarheid (CVE-2021-34527) die bekend staat onder de naam PrintNightmare. Deze noodpatch lost het ergste probleem, van RCE, wel op maar pakt het securityprobleem van LPE niet aan. Diverse security-onderzoekers melden online dat ze nog in staat zijn om misbruik te maken van de printkwetsbaarheid, wat nog stamt uit het tijdperk van Windows NT.

Kwaadwillenden die hier gebruik van willen maken, moeten daarvoor wel eerst andere stappen zien te zetten. Via andere bugs, of gebruikersmisleiding, moeten ze lokale rechten zien te verkrijgen, om die dan te kunnen benutten voor het verkrijgen van macht op het diepste SYSTEM-niveau van Windows.

De kwetsbaarheid zit in alle Windows-versies, wat de client- én de serveruitvoering omvat. De kritieke fix hiervoor is ook uitgebracht voor Windows 7, wat officieel sinds 14 januari 2020 niet meer ondersteund wordt door Microsoft. De softwareleverancier werkt nog aan de noodpatch voor Windows 10 versie 1607 (de zogeheten Anniversary Update uit 2016), Windows Server 2016 en Windows Server 2012. Die komt binnenkort uit, meldt Microsoft.

Advies: printen uitschakelen

Ondertussen raadt de Windows-maker nog zijn workarounds aan: het geheel uitschakelen van de Print Spooler-service, óf het via Group Policy uitschakelen van inkomende remote-printopdrachten. De eerste workaround heeft als gevolg dat de bewuste Windows-computer niet meer kan printen. De tweede workaround heeft als gevolg dat de pc of server alleen nog lokaal kan printen naar een printer die direct met de computer is verbonden. Aanstaande dinsdag (13 juli) is de Patch Tuesday van de maand juli.