image

Windows-domeincontrollers door print spooler-lek volledig over te nemen

woensdag 30 juni 2021, 17:09 door Redactie, 28 reacties

Een kritieke kwetsbaarheid in de Print Spooler Service van Windows maakt het voor ingelogde domeingebruikers mogelijk om Windows-domeincontrollers volledig over te nemen en code met systeemrechten uit te voeren. Systeembeheerders wordt aangeraden om de Print Spooler Service, die verantwoordelijk is voor de verwerking van printjobs, op hun domeincontrollers uit te schakelen.

Microsoft bracht begin deze maand een beveiligingsupdate uit, maar volgens verschillende onderzoekers biedt die geen volledige bescherming en zijn servers daardoor nog steeds kwetsbaar. Het beveiligingslek wordt aangeduid als CVE-2021-1675 en "PrintNightmare" en werd gerapporteerd door securitybedrijven Tencent Security, AFINE en NSFOCUS. In eerste instantie stelde Microsoft dat de kwetsbaarheid alleen kon worden gebruikt door een aanvaller om zijn rechten op een al gecompromitteerd systeem te verhogen.

Dertien dagen na de publicatie van het beveiligingsbulletin stelde Microsoft dat de kwetsbaarheid remote code execution mogelijk maakt en verhoogde de ernst van het lek van laag naar kritiek. Begin deze week publiceerde securitybedrijf QiAnXin op Twitter een demonstratie waarbij wordt getoond hoe een aanvaller via het lek code kan uitvoeren. Ook verscheen er proof-of-concept exploitcode online.

Beveiligingsonderzoeker Matthew Hickey liet eerder vandaag op Twitter zien hoe een volledig gepatchte Windows 2019-domeincontroller via de kwetsbaarheid is te compromitteren. "Dit is erg belangrijk. Als je de Print Spooler Service hebt ingeschakeld (wat standaard is), kan elke remote geauthenticeerde gebruiker code als SYSTEM op de domeincontroller uitvoeren. Stop en schakel de service op elke domeincontroller nu uit!", zegt Will Dormann, analist bij het CERT Coordination Center (CERT/CC).

Tijdens de komende Black Hat-conferentie in Las Vegas zullen onderzoekers van securitybedrijf Sangfor een presentatie over de kwetsbaarheid geven, die ze naar zeggen onafhankelijk van de drie andere bedrijven ontdekten. Windows-domeincontrollers worden gebruikt voor verschillende taken met betrekking tot het authenticeren van gebruikers en computers en vervullen een essentiële rol in het netwerk.

Image

Reacties (28)
30-06-2021, 17:47 door Anoniem
Wat een pruts design is het toch ook. Maar als je nu ook kijkt naar al die updates, alles lijkt gewoon hetzelfde te blijven. Hier en daar een paar nieuwe services.

Ik vraag me af hoeveel regels nieuwe code en vervangde code er per jaar geproduceerd wordt. Ook door wie en waar.
30-06-2021, 18:39 door Anoniem
Wel bekende tikkende tijdbom, print spooler draait als SYSTEM. Print spooler bereikbaar via SMB RPC. En verse AD heeft SMB standaard open staan. Was ook al eerder misgegaan met Stuxnet. Kon je op wachten...
30-06-2021, 18:54 door Anoniem
Ik kan me de tijd nog wel herrinneren dat we de hele kermis (domeincontroller, fileserver, printspooler) op 1 fysieke machine hadden....
Maar in deze tijden van virtualisatie zullen de meeste bedrijven hun domeincontrollers wel op aparte VM's hebben die verder niks anders doen.
30-06-2021, 20:44 door Anoniem
Door Anoniem: Ik kan me de tijd nog wel herrinneren dat we de hele kermis (domeincontroller, fileserver, printspooler) op 1 fysieke machine hadden....
Maar in deze tijden van virtualisatie zullen de meeste bedrijven hun domeincontrollers wel op aparte VM's hebben die verder niks anders doen.

Dat zal je nog teleurstellen...
Ik denk dat het dichter aan de realiteit zit wanneer je stelt dat de meeste bedrijven hun domeincontrollers nog niet op aparte VM's heeft staan.
Dit uiteraard wel van plan is etc... Maar bij lange na niet.
30-06-2021, 21:07 door karma4 - Bijgewerkt: 30-06-2021, 21:10
Sinds jaar en dag is het al aanbevolen om niet gebruikte services volledig te verwijderen.
Sinds wanneer is er ineens een printer spooler op een domein controller nodig?
Als ICT beheer bestaat uit enter enter next finish dan is het geen wonder dat er zoveel mis gaat ongeacht wek systeem..

Door Anoniem: Ik kan me de tijd nog wel herrinneren dat we de hele kermis (domeincontroller, fileserver, printspooler) op 1 fysieke machine hadden....
Maar in deze tijden van virtualisatie zullen de meeste bedrijven hun domeincontrollers wel op aparte VM's hebben die verder niks anders doen.
Ja, ik ook, dat was eind jaren 80 toen internet nog moest komen. pc's net opkwamen en alles zo traag en langzaam en duur was. Tijden veranderen. De kosten van hardware zijn niet meer zo hoog maar vind maar eens mensen die er echt mee overweg kunnen.
30-06-2021, 22:06 door Anoniem
Tja, is dit nog nieuws...

Insecure by design. ™
30-06-2021, 23:22 door Anoniem
Door karma4: Sinds jaar en dag is het al aanbevolen om niet gebruikte services volledig te verwijderen.
Sinds wanneer is er ineens een printer spooler op een domein controller nodig?
Als ICT beheer bestaat uit enter enter next finish dan is het geen wonder dat er zoveel mis gaat ongeacht wek systeem..

Door Anoniem: Ik kan me de tijd nog wel herrinneren dat we de hele kermis (domeincontroller, fileserver, printspooler) op 1 fysieke machine hadden....
Maar in deze tijden van virtualisatie zullen de meeste bedrijven hun domeincontrollers wel op aparte VM's hebben die verder niks anders doen.
Ja, ik ook, dat was eind jaren 80 toen internet nog moest komen. pc's net opkwamen en alles zo traag en langzaam en duur was. Tijden veranderen. De kosten van hardware zijn niet meer zo hoog maar vind maar eens mensen die er echt mee overweg kunnen.
Daar ga je weer de fout in met je ongeacht welk systeem. Onder UNIX draait de printspooler default niet met rootrechten!
Wat een flut design is dat windows toch ook. (volledig gepatchte Windows 2019-domeincontroller via de kwetsbaarheid is te compromitteren). Door 3 verschillende kampen gevonden en dus grote kans dat het door criminelen al een tijd wordt misbruikt.
Leegloop is begonnen.
30-06-2021, 23:46 door karma
Jammer dit was al een tijdje bekend in het circuit. Dat is het mooie van closed source. Eenmaal een gat gevonden dan kan je maanden/jaren lang profiteren als cracker. Vooral de RDP protocol implementatie is een feest.
01-07-2021, 06:11 door Anoniem
Door Anoniem: Wat een pruts design is het toch ook. Maar als je nu ook kijkt naar al die updates, alles lijkt gewoon hetzelfde te blijven. Hier en daar een paar nieuwe services.

Ik vraag me af hoeveel regels nieuwe code en vervangde code er per jaar geproduceerd wordt. Ook door wie en waar.
Dit is de reden waarom ik Windows al jaren geleden buiten de deur heb gezet. Windows is zo lek als een mandje. Laat een ander maar hun ransomware krijgen.
01-07-2021, 07:24 door Anoniem
Door karma: Jammer dit was al een tijdje bekend in het circuit. Dat is het mooie van closed source. Eenmaal een gat gevonden dan kan je maanden/jaren lang profiteren als cracker. Vooral de RDP protocol implementatie is een feest.

en je zou zelfs kunnen stellen dat het wel of niet hebben van de sources er niet toe doet om die gaten te vinden...
01-07-2021, 08:37 door Anoniem
plakband:

https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/

waarna we met minder paniek alsnog de DC weer DC maken, en de printservice, fileserver, SQL server, mailserver, en broodje-pindakaas-maker van de DC af mogen halen.
01-07-2021, 09:08 door Anoniem
Pingcastle is een gratis security tool om je domain controllers of domein te checken.
Als je pingcastle draait, dan geeft die al aan dat de printspooler moeten worden disabled.
01-07-2021, 09:24 door Anoniem
@Anoniem 09:08
Je kunt natuurlijk ook de [url=https://docs.microsoft.com/en-us/windows/security/threat-protection/security-compliance-toolkit-10]Security Compliance Toolkit[/url] gebruiken, daar is ook een prima rapportage mee te maken.

Voor de mensen die mopperen dat je DC geen print/file/mailserver moet zijn, jullie hebben zeker een punt, maar het probleem is daarnaast ook dat de printspooler ook gewoon de lokale printopdrachten afhandelt. Print spooler kun (eigenlijk hoor) je dus disablen om servers waar alleen admins op inloggen. Ook dit wordt keurig in de SCT verteld en uitgelegd. Maar er zijn helaas maar weinig bedrijven/organisaties die deze security basis gewoon vergeten.
01-07-2021, 09:33 door Anoniem
Door Anoniem: Pingcastle is een gratis security tool om je domain controllers of domein te checken.
Als je pingcastle draait, dan geeft die al aan dat de printspooler moeten worden disabled.
Dank je wel Anoniem 09:08!!!
Op dit soort input zit ik te wachten, elkaar verder helpen, de rest moeten we maar snel vergeten.
01-07-2021, 10:12 door Anoniem
Door Anoniem:
Door Anoniem: Pingcastle is een gratis security tool om je domain controllers of domein te checken.
Als je pingcastle draait, dan geeft die al aan dat de printspooler moeten worden disabled.
Dank je wel Anoniem 09:08!!!
Op dit soort input zit ik te wachten, elkaar verder helpen, de rest moeten we maar snel vergeten.


Een beetje systeembeheerder met windows kennis kijkt hopelijk wel eens in de taskmanager van de server, (of kijkt met Powershell) welke processen er draaien...
Of ben ik nou naïef? :P
01-07-2021, 10:13 door Anoniem
Door karma4: Sinds jaar en dag is het al aanbevolen om niet gebruikte services volledig te verwijderen.
Sinds wanneer is er ineens een printer spooler op een domein controller nodig?
Nou dat zou je eens bij Microsoft moeten vragen...
Waarom ze services starten die op een bepaalde machine helemaal niet nodig zijn.
Ik vraag me af waarom er een printer spooler op een server gezet wordt (en gestart) als de admin op die server
helemaal geen printers heeft toegevoegd. Dat kan toch wachten tot ie dat doet?
01-07-2021, 10:49 door Anoniem
Door Anoniem: Ik kan me de tijd nog wel herrinneren dat we de hele kermis (domeincontroller, fileserver, printspooler) op 1 fysieke machine hadden....
Maar in deze tijden van virtualisatie zullen de meeste bedrijven hun domeincontrollers wel op aparte VM's hebben die verder niks anders doen.

In een klein bedrijf waar de DC's weinig doen wordt er vaak voor gekozen om 1 (al dan niet virtuele) server te gebruiken voor DC, printers, DNS en DHCP. Dat scheelt dan weer de nodige kosten. Maar ook op DC's die niet als printservers werken, draait de spooler service dus in dit specifieke geval lijk je dan niet beschermd.
01-07-2021, 11:17 door Patrick_st
Door Anoniem: plakband:

https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/


Dit plakband werkte bij ons niet op 2012R2 servers. Onderstaande commando's in een elevated command prompt wel:

takeown /F "C:\Windows\System32\spool\drivers" /r

ICACLS "C:\Windows\System32\spool\drivers" /T /DENY "SYSTEM:(F)"
01-07-2021, 12:43 door Anoniem
De kop van het artikel is nogal misleidend, het gaat om *alle* windows servers, niet alleen domain controller.
Je kan de print spooler via group policy disablen voor alle member servers. Wel even checken dat je b.v. printservers en Citrix exclude. Anders heb je een paperless office :)
En daarna die brakke print spooler lekker uit laten staan.
01-07-2021, 13:40 door Anoniem
Door Patrick_st:
Door Anoniem: plakband:

https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/


Dit plakband werkte bij ons niet op 2012R2 servers. Onderstaande commando's in een elevated command prompt wel:

takeown /F "C:\Windows\System32\spool\drivers" /r

ICACLS "C:\Windows\System32\spool\drivers" /T /DENY "SYSTEM:(F)"
Get-Acl $Path vervangen door (Get-Item $Path).GetAccessControl('Access')
01-07-2021, 15:09 door Anoniem
Door Anoniem:
Door Anoniem: Ik kan me de tijd nog wel herrinneren dat we de hele kermis (domeincontroller, fileserver, printspooler) op 1 fysieke machine hadden....
Maar in deze tijden van virtualisatie zullen de meeste bedrijven hun domeincontrollers wel op aparte VM's hebben die verder niks anders doen.

In een klein bedrijf waar de DC's weinig doen wordt er vaak voor gekozen om 1 (al dan niet virtuele) server te gebruiken voor DC, printers, DNS en DHCP. Dat scheelt dan weer de nodige kosten. Maar ook op DC's die niet als printservers werken, draait de spooler service dus in dit specifieke geval lijk je dan niet beschermd.

Beetje off-topic; Kiezen voor "één DC" is kiezen om niet te voldoen aan de AVG. Zonder DC, geen authenticatie mogelijk op bijvoorbeeld SQL server. Geen toegang tot opgeslagen persoonsgegevens is schending van de AVG. Of de bestanden nu versleuteld zijn door een cryptolocker, of dat je er niet bij kunt omdat je identity management server het niet meer doet, is hetzelfde resultaat.

"The General Data Protection Regulation (GDPR) integrates accountability as a principle which requires that organisations put in place appropriate technical and organisational measures and be able to demonstrate what they did and its effectiveness when requested."

Er is een reden dat ze bij MS gestopt zijn met SBS server....
01-07-2021, 17:11 door Anoniem
ik geloof niet dat de AVG een eis stelt over hoe snel je bij je data moet kunnen.
en accountability is alleen maar dat je moet laten zien dat je je fiets met een 2 euro slot op slot gedaan hebt, niet dat je dat met een 100 euro slot moet doen.

alles op een server is prima, maar je vergroot je attack-surface, en vergroot de impact. Middels een risk-assesment verken je de risico's en dan neem je die, of niet.

alles op een eigen server, maar dan weer overal hetzelde local admin password in een vlan is ongeveer even erg...

De truc is dat je je risico verkleint, dat je zegt dat je dat doet, dat je ook doet wat je daar zegt, en dat je dat laat zien.
01-07-2021, 18:13 door Anoniem
Door karma4: Sinds jaar en dag is het al aanbevolen om niet gebruikte services volledig te verwijderen.
Sinds wanneer is er ineens een printer spooler op een domein controller nodig?
Als ICT beheer bestaat uit enter enter next finish dan is het geen wonder dat er zoveel mis gaat ongeacht wek systeem..

Door Anoniem: Ik kan me de tijd nog wel herrinneren dat we de hele kermis (domeincontroller, fileserver, printspooler) op 1 fysieke machine hadden....
Maar in deze tijden van virtualisatie zullen de meeste bedrijven hun domeincontrollers wel op aparte VM's hebben die verder niks anders doen.
Ja, ik ook, dat was eind jaren 80 toen internet nog moest komen. pc's net opkwamen en alles zo traag en langzaam en duur was. Tijden veranderen. De kosten van hardware zijn niet meer zo hoog maar vind maar eens mensen die er echt mee overweg kunnen.
Het gaat niet alleen om de hardware maar ook om de dure Microsoft software. Aparte VM voor alleen printspooler is weer een volledige licentie en ook nog eens voor meerdere hypervisors want je wilt hem ook kunnen migreren. Het is dus voor het MKB aantrekkelijk om zo veel mogelijk op 1 server te proppen.
01-07-2021, 20:24 door karma4 - Bijgewerkt: 01-07-2021, 20:25
Door Anoniem: Het gaat niet alleen om de hardware maar ook om de dure Microsoft software. Aparte VM voor alleen printspooler is weer een volledige licentie en ook nog eens voor meerdere hypervisors want je wilt hem ook kunnen migreren. Het is dus voor het MKB aantrekkelijk om zo veel mogelijk op 1 server te proppen.
Je komt zelf met het kosten argument terwijl er een verhaal van risico vs kosten had moeten zijn.
Over welke kosten heb je het? Tenzij het voor gratis en voor niets moet zijn die kosten gewoonlijk vele malen minder dan de marketing en en juridische kosten.

Door Anoniem: Nou dat zou je eens bij Microsoft moeten vragen...
Waarom ze services starten die op een bepaalde machine helemaal niet nodig zijn.
Ik vraag me af waarom er een printer spooler op een server gezet wordt (en gestart) als de admin op die server
helemaal geen printers heeft toegevoegd. Dat kan toch wachten tot ie dat doet?

Dus je vind een admin een enter enter klik next figuur? Dan begijp ik alle ICT ellende.
Deze zie ik al heel lang: "4.2.1 Remove or Disable Unnecessary Services, Applications, and Network Protocol"
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-123.pdf

Door Anoniem:
Daar ga je weer de fout in met je ongeacht welk systeem. Onder UNIX draait de printspooler default niet met rootrechten!
..
Unix kent geen serviceaccounts, daar ga je flink het schip in met je systemd / sudo.
02-07-2021, 00:18 door walmare - Bijgewerkt: 02-07-2021, 00:25
Door karma4:
Door Anoniem: Het gaat niet alleen om de hardware maar ook om de dure Microsoft software. Aparte VM voor alleen printspooler is weer een volledige licentie en ook nog eens voor meerdere hypervisors want je wilt hem ook kunnen migreren. Het is dus voor het MKB aantrekkelijk om zo veel mogelijk op 1 server te proppen.
Je komt zelf met het kosten argument terwijl er een verhaal van risico vs kosten had moeten zijn.
Over welke kosten heb je het? Tenzij het voor gratis en voor niets moet zijn die kosten gewoonlijk vele malen minder dan de marketing en en juridische kosten.

Door Anoniem: Nou dat zou je eens bij Microsoft moeten vragen...
Waarom ze services starten die op een bepaalde machine helemaal niet nodig zijn.
Ik vraag me af waarom er een printer spooler op een server gezet wordt (en gestart) als de admin op die server
helemaal geen printers heeft toegevoegd. Dat kan toch wachten tot ie dat doet?

Dus je vind een admin een enter enter klik next figuur? Dan begijp ik alle ICT ellende.
Deze zie ik al heel lang: "4.2.1 Remove or Disable Unnecessary Services, Applications, and Network Protocol"
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-123.pdf

Door Anoniem:
Daar ga je weer de fout in met je ongeacht welk systeem. Onder UNIX draait de printspooler default niet met rootrechten!
..
Unix kent geen serviceaccounts, daar ga je flink het schip in met je systemd / sudo.
Niet op UNIX vlak begeven aub je hebt al vaker laten zien hier niks van te willen snappen. By convention, and only by convention, Linux system service accounts have user IDs in the low range, e.g. < 1000 or so. Except for UID 0, service accounts don't have any special privileges. Naast het verschil in umask hebben service accounts vaak /usr/sbin/nologin als login shell omdat ze alleen een system service uitvoeren (bv lp, mag jij raden waar dat voor staat) maar je mag daar natuurlijk ook een user account voor gebruiken met beperkte rechten.
Verder begon je zelf over een misleidend kosten argument (alleen hardware) terwijl een standaard windows domain controller volledig is over te nemen, gecombineerd met de exchange ellende geeft dit weer vette shit in het windows ecosysteem. We kunnen dus weer een serie nieuwe ransomware incidenten verwachten waar andere OS'en weer voor de zoveelste keer buitenschot blijven.
02-07-2021, 09:03 door [Account Verwijderd]
Door Anoniem: Wat een pruts design is het toch ook. Maar als je nu ook kijkt naar al die updates, alles lijkt gewoon hetzelfde te blijven. Hier en daar een paar nieuwe services.

Ik vraag me af hoeveel regels nieuwe code en vervangde code er per jaar geproduceerd wordt. Ook door wie en waar.

Een kenmerk van een spaghetticodebouwwerk is dat fixes op de ene plek onbedoelde en onvoorziene gevolgen hebben op ene andere plek. Dat wordt alleen maar erger, omdat er fix op fix op fix wordt aangebracht. De klant is natuurlijk de dupe.
02-07-2021, 23:48 door Anoniem
Door Toje Fos:
Door Anoniem: Wat een pruts design is het toch ook. Maar als je nu ook kijkt naar al die updates, alles lijkt gewoon hetzelfde te blijven. Hier en daar een paar nieuwe services.

Ik vraag me af hoeveel regels nieuwe code en vervangde code er per jaar geproduceerd wordt. Ook door wie en waar.

Een kenmerk van een spaghetticodebouwwerk is dat fixes op de ene plek onbedoelde en onvoorziene gevolgen hebben op ene andere plek. Dat wordt alleen maar erger, omdat er fix op fix op fix wordt aangebracht. De klant is natuurlijk de dupe.
Wat nog erger is dat de politie met gemeenschapsgeld smijt om dit systeem nog toekomst te geven
03-07-2021, 00:16 door karma
Kan iemand dit ouderwetse spaghettisysteem het laatste zetje geven. Dit is toch echt niet meer verantwoord in te zetten en nog duur ook. Het wordt tijd dat er eens mensen ontslagen worden voor het gebruik van deze prut bij de overheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.