image

Lek in Windows print spooler kan aanvaller systeemrechten geven

donderdag 14 mei 2020, 10:32 door Redactie, 15 reacties

Een kwetsbaarheid in de Windows print spooler kan een aanvaller die al toegang tot een computer heeft systeemrechten geven, waardoor hij volledige controle over het systeem krijgt. Ook is het mogelijk om een backdoor te installeren die zelfs na installatie van de patch aanwezig blijft. Microsoft heeft dinsdagavond een beveiligingsupdate voor het probleem uitgebracht en gebruikers en organisaties krijgen het advies die te installeren. Details over de kwetsbaarheid zijn nu openbaar gemaakt.

De Windows print spooler is verantwoordelijk voor het printen van documenten en is al jaren een onderdeel van het besturingssysteem. Tien jaar geleden kwam het wegens een ander beveiligingslek ook al eens in het nieuws. De beruchte Stuxnetworm bleek gebruik te maken van een zerodaylek in de print spooler om computers over te nemen. De nu verholpen kwetsbaarheid, die PrintDemon wordt genoemd, is minder ernstig.

Het beveiligingslek is alleen te misbruiken door een aanvaller die al toegang tot een computer heeft en code kan uitvoeren. Voor aanvallers is het echter een interessante kwetsbaarheid. In veel organisaties werken gebruikers namelijk met verminderde rechten. Wanneer een aanvaller erin slaagt om een dergelijke gebruiker met malware te infecteren kan hij alleen code en acties met de rechten van de betreffende gebruiker uitvoeren.

Aanvallers proberen dan ook om hun rechten op de besmette computer te verhogen, zodat ze meer mogelijkheden hebben en andere systemen in het netwerk kunnen aanvallen. Ransomwaregroepen passen deze tactiek vaak toe en het PrintDemon-lek kan hen hierbij helpen. De print spooler-service draait namelijk met systeemrechten. Via het nu ontdekte beveiligingslek is het mogelijk voor een aanvaller om zijn code via de print spooler uit te laten voeren. Aangezien de print spooler systeemrechten heeft wordt ook de code van de aanvaller met systeemrechten uitgevoerd.

Daarnaast is het mogelijk om op ongepatchte systemen een backdoor toe te voegen die aanwezig blijft zelfs wanneer de beveiligingsupdate is geïnstalleerd. De kwetsbaarheid werd ontdekt door onderzoekers Peleg Hadar en Tomer Bar van SafeBreach Labs. Onderzoekers Yarden Shafir en Alex Ionescu van Winsider hebben nu een uitgebreide analyse van de kwetsbaarheid online gezet, alsmede een proof-of-concept. Daarbij merken Shafir en Ionescu op dat ze nog verschillende andere kwetsbaarheden in de print spooler hebben gevonden die op een patch van Microsoft wachten.

Image

Reacties (15)
14-05-2020, 14:38 door Anoniem
Heel interessant stuk maar het is me niet duidelijk wat voor rechten nodig zijn op een windows instantie om na het uitvoeren van add-printerport een geslaagde exploit te hebben. Ik denk dat de titel wat kort door de bocht is: je kunt maar systeemrechten verkrijgen als je er eerst in slaagt op een andere manier een gecompromitteerde dll op een systeemlocatie te krijgen (voor zover ik het begrijp)
14-05-2020, 15:04 door Anoniem
@14:38: "An attacker who successfully exploited this vulnerability could run arbitrary code with elevated system privileges"
Zie ook https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1048
14-05-2020, 15:23 door souplost
Door Anoniem: Heel interessant stuk maar het is me niet duidelijk wat voor rechten nodig zijn op een windows instantie om na het uitvoeren van add-printerport een geslaagde exploit te hebben. Ik denk dat de titel wat kort door de bocht is: je kunt maar systeemrechten verkrijgen als je er eerst in slaagt op een andere manier een gecompromitteerde dll op een systeemlocatie te krijgen (voor zover ik het begrijp)
Er staat heel duidelijk: de Windows print spooler kan een aanvaller die al toegang tot een computer heeft systeemrechten geven, waardoor hij volledige controle over het systeem krijgt
Een gebruiker zonder systeemrechten dus. (privilege escalation voor b.v. guest user).
14-05-2020, 15:39 door Anoniem
Ik vraag me alleen af waarom een print spooler met systeemrechten zou moeten draaien.
14-05-2020, 17:30 door souplost
Door Anoniem: Ik vraag me alleen af waarom een print spooler met systeemrechten zou moeten draaien.
Dat vroeg ik me ook af. Vroeger draaide onder NT alle services met admin rechten met alle gevolgen van dien.
14-05-2020, 18:20 door Anoniem
Door souplost:
Door Anoniem: Ik vraag me alleen af waarom een print spooler met systeemrechten zou moeten draaien.
Dat vroeg ik me ook af. Vroeger draaide onder NT alle services met admin rechten met alle gevolgen van dien.
Ja en als je dat eenmaal zo gedaan hebt kom je daar bijna niet meer vanaf... want dan zijn er altijd wel gebruikers die
hier op de een of andere manier vanuit gaan.

Vroeger draaiden de printerdrivers zelfs in kernelmode. Maar dat is een tijdje geleden terug gedraaid.
(dat was in de tijd dat Microsoft dacht dat het hele grafische subsystem het beste in de kernel kon zitten om goede
performance te halen, immers OS/2 waar dat niet zo was presteerde abominabel)
14-05-2020, 20:52 door souplost
Door Anoniem:
Door souplost:
Door Anoniem: Ik vraag me alleen af waarom een print spooler met systeemrechten zou moeten draaien.
Dat vroeg ik me ook af. Vroeger draaide onder NT alle services met admin rechten met alle gevolgen van dien.
Ja en als je dat eenmaal zo gedaan hebt kom je daar bijna niet meer vanaf... want dan zijn er altijd wel gebruikers die
hier op de een of andere manier vanuit gaan.

Vroeger draaiden de printerdrivers zelfs in kernelmode. Maar dat is een tijdje geleden terug gedraaid.
(dat was in de tijd dat Microsoft dacht dat het hele grafische subsystem het beste in de kernel kon zitten om goede
performance te halen, immers OS/2 waar dat niet zo was presteerde abominabel)
Met als nadeel dat het OS dan crashte door de printerdriver. Dan zou ik toch voor het eerste gaan.
14-05-2020, 21:12 door karma4
Door Anoniem: Ik vraag me alleen af waarom een print spooler met systeemrechten zou moeten draaien.
Server aanpak de spooler moet meerdere gebruikers op het systeem aankunnen. Zodra de opdracht tot printen binnen is moet de gebruiker uit beeld kunnen zijn en de print verder afgehandeld worden. Ik ken geen echt OS waar het anders aangepakt wordt. Het enige wat daartegen helpt is een reeks service accounts en wat andere zaken.
Een professionele multifunction copier heeft tegenwoordig een heel protocol. Aanloggen voor "follow me" met pas bij de printer.
Dit verhaal is voor endpoints waarmee gebruikers aan het internet hangen. Je router IOT kent alleen root.
14-05-2020, 22:01 door Anoniem
lees eens de referenties in

https://www.security.nl/posting/656966/printer+probleem
14-05-2020, 22:35 door souplost
Door karma4:
Door Anoniem: Ik vraag me alleen af waarom een print spooler met systeemrechten zou moeten draaien.
Server aanpak de spooler moet meerdere gebruikers op het systeem aankunnen. Zodra de opdracht tot printen binnen is moet de gebruiker uit beeld kunnen zijn en de print verder afgehandeld worden. Ik ken geen echt OS waar het anders aangepakt wordt. Het enige wat daartegen helpt is een reeks service accounts en wat andere zaken.
Een professionele multifunction copier heeft tegenwoordig een heel protocol. Aanloggen voor "follow me" met pas bij de printer.
Dit verhaal is voor endpoints waarmee gebruikers aan het internet hangen. Je router IOT kent alleen root.
De post wordt ook opgehaald en afgeleverd door een postbode en niet de CEO met alle rechten.
15-05-2020, 09:46 door Anoniem
Door karma4: Je router IOT kent alleen root.

Je kan het niet laten.
15-05-2020, 10:18 door karma4 - Bijgewerkt: 15-05-2020, 10:22
Door souplost: De post wordt ook opgehaald en afgeleverd door een postbode en niet de CEO met alle rechten.
Die postbode kan fictief niet de echte zijn en zo aan gevoelige informatie komen. Op het moment dat de postbode een pakje meekrijgt dan heeft de postbode alle toegang op dat pakje. Dat is zo ook als er miljoenen aan cash in zit.
Leg je plastic tas met bijvoorbeeld 20.000 maar eens in het park en kijk wat er gebeurt.

Dat is iets waar je direct rechten op een desktop moet hebben en printers installeren.
Zou me meer zorgen maken op alles wat in de cloud snel neergezet wordt, waar iedereen open en bloot bij kan.
Een andere blijft de IOT meuk zoals printers waarbij de eis aan de andere kant gesteld wordt om niet te veel beveiliging in te zetten omdat dan dat printertje niet meer werkt.
15-05-2020, 23:31 door souplost
Door karma4:
Door souplost: De post wordt ook opgehaald en afgeleverd door een postbode en niet de CEO met alle rechten.
Die postbode kan fictief niet de echte zijn en zo aan gevoelige informatie komen. Op het moment dat de postbode een pakje meekrijgt dan heeft de postbode alle toegang op dat pakje. Dat is zo ook als er miljoenen aan cash in zit.
Leg je plastic tas met bijvoorbeeld 20.000 maar eens in het park en kijk wat er gebeurt.

Dat is iets waar je direct rechten op een desktop moet hebben en printers installeren.
Zou me meer zorgen maken op alles wat in de cloud snel neergezet wordt, waar iedereen open en bloot bij kan.
Een andere blijft de IOT meuk zoals printers waarbij de eis aan de andere kant gesteld wordt om niet te veel beveiliging in te zetten omdat dan dat printertje niet meer werkt.
Karma4 is weer aan het downplayen en wijst naar anderen en dan nog volhouden dat MS niet zijn broodheer is.
Tijd dat deze draad ook wordt gelocked want discussie blijkt zinloos.
17-05-2020, 10:18 door The FOSS - Bijgewerkt: 17-05-2020, 10:20
Een kwetsbaarheid in de Windows print spooler kan een aanvaller die al toegang tot een computer heeft systeemrechten geven, waardoor hij volledige controle over het systeem krijgt. Ook is het mogelijk om een backdoor te installeren die zelfs na installatie van de patch aanwezig blijft. Microsoft heeft dinsdagavond een beveiligingsupdate voor het probleem uitgebracht en gebruikers en organisaties krijgen het advies die te installeren.

Alweer een beveiligingsprobleem in Microsoft Windows? Er waren er toch net 111 verholpen? https://www.security.nl/posting/656807/Microsoft+patcht+111+beveiligingslekken+in+Windows%2C+Edge+en+Office. Het gaat maar door nietwaar? Snel de patches installeren mensen! Alle 111.
17-05-2020, 11:35 door The FOSS
Door The FOSS: Snel de patches installeren mensen! Alle 111.

112.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.