Windows Print Spooler blijft zeer populair als aanvalsroute

Microsoft brengt regelmatig patches uit voor Print Spooler, de software die het afdrukproces beheert. Maar criminelen blijven kwetsbaarheden ontdekken en misbruiken. De gaten in de beveiliging maken het mogelijk om kwaadaardige bestanden te verspreiden en te installeren, waarna uiteindelijk gegevens kunnen worden gestolen.

Onderzoekers van Kaspersky ontdekten dat cybercriminelen tussen juli 2021 en april 2022 ongeveer 65.000 aanvallen hebben uitgevoerd. Bovendien merkten Kaspersky-onderzoekers dat ongeveer 31.000 van deze aanvallen plaatsvonden in de afgelopen vier maanden, van januari tot april. “Dit suggereert dat kwetsbaarheden in Windows Print Spooler een populaire aanvalsroute blijft voor cybercriminelen. Gebruikers moeten daarom op de hoogte zijn van eventuele patches en fixes die Microsoft uitbrengt”, aldus Kaspersky op zijn officiële website.

Aanhoudende PrintNightmare

Print Spooler kreeg afgelopen zomer veel aandacht na de zogeheten PrintNightmare-kwetsbaarheid, waar per ongeluk proof-of-concept (PoC) code voor opdook. Onderzoekers waren destijds bezig met onderzoek naar een ander gat in Print Spooler, dat vervolgens gedicht werd door Microsoft. De onderzoekers maakten na het verschijnen van die patch hun eigen bevindingen openbaar, inclusief PoC-code waarmee de misbruikmogelijkheden zijn te testen.

Achteraf bleek echter dat een deel van hun bevindingen over een heel ander gat in Windows' Print Spooler ging. Voor dát gat was toen nog geen patch beschikbaar. Hoewel de details en PoC-code snel weer ingetrokken werden, bleek de informatie al gekopieerd te zijn door aanvallers. Inmiddels is er een patch beschikbaar voor het andere gat, maar daarna kwamen uit verder onderzoek nog veel meer gaten op in de Print Spooler.