Beheer

Security
Microsoft

Microsoft waarschuwt: zet Print Spooler uit

Nog geen patch beschikbaar voor actief misbruikt printgat.

© Pixabay efes
2 juli 2021

Nog geen patch beschikbaar voor actief misbruikt printgat.

Microsoft adviseert beheerders en securityprofessionals om de Print Spooler-dienst uit te schakelen. Eerder deze week werd duidelijk dat er een nieuwe zeroday in de dienst zit, waar ook al proof-of-concept (PoC) code van is opgedoken. Een patch voor het gat is er nog niet, maar Microsoft biedt nu wel een workaround.

De nieuw gevonden zeroday - gevolgd onder CVE-2021-34527 - is een remote execution vulnerability, wat betekent dat aanvallers via het gat op afstand eigen code kunnen uitvoeren. De aanvaller kan programma's installeren, data bekijken, veranderen of verwijderen, en nieuwe accounts aanmaken met volledige gebruikersrechten. 

Microsoft adviseert om te controleren of de Print Spooler-dienst draait en deze uit te schakelen als dat het geval is. Door de dienst uit te schakelen is het niet langer mogelijk om lokaal of op afstand te printen.

Een andere optie is om alleen printen op afstand uit te schakelen via Group Policy. Op die manier worden aanvallers op afstand geblokkeerd. Het systeem werkt dan niet langer als een printserver, maar het blijft wel mogelijk om lokaal te printen door bijvoorbeeld een laptop direct op de printer aan te sluiten. 

Per ongeluk gevonden

Het 34527-gat werd per ongeluk gevonden nadat er gewaarschuwd werd voor een andere kwetsbaarheid in Print Spooler: CVE-2021-1675. De 1675-kwetsbaarheid betreft een verhoging van lokale rechten en werd op de afgelopen Patch Tuesday gedicht. Diverse onderzoekers waren ook bezig met dit Windows-onderdeel en meldden de door hun gevonden gaten bij Microsoft. Toen Microsoft de patch uitbracht, maakte een onderzoeker ook zijn PoC-code daarvoor openbaar. Andere onderzoekers maakten daarop hun eigen bevindingen bekend, mét PoC-code. Maar al snel bleek dat daar ook het 34527-gat bij zat, waar dus nog geen patch voor is. 

De details en PoC-code werden al gauw weer ingetrokken, maar de informatie was al gekopieerd. Inmiddels zijn er meerdere PoC-varianten opgedoken en de affaire heeft de naam #printNightmare gekregen. 

Hoe gevaarlijk het 34527-gat precies is, is nog onduidelijk. Microsoft heeft hier nog geen CVSS-score aan gehangen, omdat er nog onderzoek naar het probleem wordt gedaan. 

Lees meer over Beheer OP AG Intelligence
6
Reacties
herauthon 02 juli 2021 22:51

Een print-spooler die van uit ROOD-net benaderbaar is - over welke poort - geen firewall - geen toegang filtering - geen communicatie detectie - lijkt me vreemd dat de printspool een open dienst is beschikbaar over internet ?

Verder lijkt het verstandig een horizontale bescherming te gebruiken - ofwel - wie wel of niet mag printen - een toegewezen printserver met firewall afscherming - instructie beperking - print memory
beperking - remote secure access logging lijkt me nuttig.

PDF's kunnen ook via een andere route worden gemaakt - en waarom via de printer functie ?
hoe gezond is een PDF - lijkt me een formaat met een knik-oog

J.P. Top 02 juli 2021 16:05

Uit de context van zowel dit artikel als die van Microsoft meen ik af te kunnen leiden dat het hier om de print spooler van een centrale server gaat. Maar het staat niet duidelijk vermeld... Kan het zijn dat de WIN clients, die zelf ook kleine print spoolers hebben daarom ook kleine gaatjes vertonen?

Pietertje 02 juli 2021 15:50

Ah, vandaar dat ze zo zitten pushen voor die digitale transformatie... ze wisten blijkbaar dat die spooler klote was. Dit is waanzin.

Joost v.d. Eijk 02 juli 2021 12:24

Als ik op een professioneel systeem de printer spooler moet stoppen, stop dan gelijk het hele systeem.
Zero day......waanzin.

Erwin1 02 juli 2021 12:03

Ik vraag me al jaren af waarom de Print Spooler service op een Windows Server standaard altijd automatisch gestart wordt. Waarom niet de service alleen automatisch starten als er ook daadwerkelijk een printer is geinstalleerd ? Oke, de Microsoft XPS Printer en de Microsoft PDF printer worden tegenwoordig standaard geinstalleerd, maar ook dat zou niet hoeven op een Server. Zo zijn er nog een hele hoop services die automatisch starten op een Server, waarvan het nut ver te zoeken is. Standaard deze services uit zetten in plaats van automatisch starten maakt ook meteen je ' Attack Surface' kleiner.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.