Windows-servers in acuut gevaar door RCE-gaten in printerservice

Het Nationaal Cyber Security Centrum (NCSC) van de Nederlandse overheid waarschuwt nu voor het verschijnen van de PoC-code, waarmee misbruik mogelijk wordt gemaakt. Het spreekt daarbij van de oorspronkelijke kwetsbaarheid (CVE-2021-1675), maar door security-experts is al gededuceerd dat er naast die ene kwetsbaarheid nog een andere, gloednieuwe kwetsbaarheid speelt.

Hoog, laag, hoog risico

De 1675-kwetsbaarheid is aanvankelijk (begin juni) door Microsoft geclassificeerd als een hoog risico, maar is vervolgens bijgesteld naar een kleiner risico. De bug in de printerservice van Windows betrof namelijk verhoging van lokale rechten (local privilege escalation, LPE), maar was niet publiekelijk onthuld én er was geen exploitcode voor beschikbaar, meldde Microsoft. Dat is kort na het uitbrengen van de patch voor dit probleem echter veranderd: er valt op afstand eigen code uit te voeren (remote code execution, RCE) en daarna is er PoC-code voor uitgekomen.

Naast Windows-clients zijn ook Windows-servers zoals domeincontrollers kwetsbaar, en daarmee lopen hele Windows-omgevingen gevaar. "Voor de kwetsbaarheid met kenmerk CVE-2021-1675 is proof-of-concept-code verschenen", meldt het NCSC. "De kwetsbaarheid stelt een kwaadwillende in staat om willekeurige code uit te voeren of om verhoogde rechten te verkrijgen door het misbruiken van de Print spooler service. Een aanvaller kan deze kwetsbaarheid misbruiken om de controle te krijgen over een domain controller waar de Print spooler service actief is."

Daarbij merkt het Nederlandse securityorgaan op dat de recent door Microsoft uitgebrachte patches voor de diverse getroffen Windows-versies de kwetsbaarheid mogelijk niet verhelpen. "Microsoft heeft hierover signalen ontvangen en is dit aan het uitzoeken." Ondertussen zijn security-experts op deze zaak gesprongen en is de conclusie getrokken dat er naast het gepatchte gat in Windows' printservice een andere, nieuwe RCE-kwetsbaarheid is. En daar is nog geen patch voor.

Per ongeluk verklapt

Het blijkt nu dat de gepatchte kwetsbaarheid niet de enige printerontdekking was. Verschillende onderzoekers waren bezig met dit Windows-onderdeel, en hebben de door hun gevonden gaten verantwoord gemeld bij Microsoft. Na het uitbrengen van de patch en openbaren van PoC-code daarvoor door de ene ontdekker hebben andere onderzoekers hun bevindingen ook bekend gemaakt. Met hun PoC-code daarvoor. Alleen bleek dat niet exact dezelfde bug in de printer spooler te zijn.

Terwijl details en PoC-code gauw weer zijn ingetrokken, is die gevaarlijke informatie echter al gelijk gekopieerd. Meerdere PoC-varianten zijn vervolgens her en der opgedoken. De hele affaire is de naam #printNightmare gegeven, hoewel die strikt gezien alleen voor de nieuwe zeroday geldt.

Het gevaar is hoe dan ook groot, ook voor de kwetsbaarheid waarvoor al wel een patch beschikbaar is. Het is namelijk de vraag hoe snel Windows-gebruikende organisaties hun systemen weten te updaten. En of ze dan monitoring voor en effectieve afweer tegen de ongepatchte kwetsbaarheid weten op te tuigen. Kwaadwillenden kunnen zich dankzij de bugs 'verheffen' van remote-gebruikersaccount met standaardrechten tot het diepgaande beheeraccount SYSTEM in Windows.

Nu uitschakelen

Het dringende advies nu is dan ook om de printer spooler te beperken of indien mogelijk uit te schakelen. Het NCSC schreef in de initiële melding al: "Totdat Microsoft hierover duidelijk heeft verschaft is het mogelijk mitigerende maatregelen te treffen. U kunt de Print spooler service uitzetten op systemen die deze service niet nodig hebben of systemen die u kritiek acht. Microsoft raadt als best practice aan om de Print spooler service niet aan te zetten op Domain controllers of andere servers die de service niet nodig hebben." Ook het Amerikaanse US-CERT adviseert dit nu.