Beheer

Security
Xerox-printers

Printernachtmerrie voor Windows-beheerders houdt aan

Wéér zeroday RCE-gat in Print Spooler van Windows.

© Xerox
12 augustus 2021

Wéér zeroday RCE-gat in Print Spooler van Windows.

Net na Patch Tuesday komt Microsoft met de mededeling dat er wéér een kwetsbaarheid is ontdekt in de Windows-functie voor printen en het delen van printers. Dit nieuwste beveiligingsgat geeft aanvallers de mogelijkheid om op afstand eigen code te laten uitvoeren (remote code execution, RCE). Informatie over dit gat is publiekelijk bekend dus misbruik wordt verwacht.

Microsoft heeft deze nieuwste zwakke plek in Windows' Print Spooler van een securitybulletin voorzien. Daarin merkt de softwareproducent op dat er nog geen sprake is van aanvallen in de praktijk. De inschatting is echter wel dat misbruik waarschijnlijker is, aangezien de kwetsbaarheid openlijk is onthuld. Dit zoveelste printergat in Windows heeft CVE-nummer 2021-36958 gekregen.

Escalerend beheerprobleem

Daarmee is duidelijk dat het hier om weer een ander gat in de Print Spooler gaat. Eerder zijn al kwetsbaarheden CVE-2021-1675, CVE-2021-34527 en nog CVE-2021-34481 ontdekt, bekend geworden, misbruikt en deels gepatcht. Een patch van vorige maand bleek ongewenste neveneffecten te hebben.

Afgelopen dinsdag was de maandelijkse patchronde van Microsoft, waarin ook weer de printerproblemen zijn aangepakt. Daarbij krijgen beheerders van Windows-systemen meer werk in de schoenen geschoven. Naast het installeren van patches, moeten beheerders namelijk ook aan de bak wat betreft permissies voor het installeren en bijwerken van printerdrivers. Daarvoor zijn vanaf de nieuwste patches namelijk beheerrechten nodig, weet The Register te melden.

Impact op printen

"Deze verandering kan impact hebben op Windows-printclients in scenario's waar non-elevated gebruikers [dus met gewone gebruikersrechten - red.] voorheen in staat waren om printers toe te voegen of te updaten", aldus Microsoft in een verklaring. "We zijn er echter van overtuigd dat het beveiligingsrisico deze verandering rechtvaardigt."

Bovendien zou deze rechtenkwestie niet het oorspronkelijke PrintNightmare-gat dichten of afdekken. Net zoals vorige maand een patch voor de Print Spooler niet volledig bleek te zijn. Bovenop dit aanhoudende securityprobleem komt nu nog de CVE-2021-36958 kwetsbaarheid, waarvan Microsoft woensdag melding heeft gemaakt. Dat is dus daags na Patch Tuesday.

Dan maar niet meer printen?

Het bedrijf biedt beheerders wel een workaround, maar dat betreft herhaling van het drastische advies dat al eerder is gegeven. Dit is het stopzetten en uitschakelen van de Print Spooler-service in Windows. Printen is dan niet meer mogelijk, niet lokaal en niet op afstand. Deze nieuwste kwetsbaarheid in de printfunctionaliteit van Windows is ontdekt door Victor Mata van FusionX, onderdeel van Accenture Security.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.