image

Microsoft bevestigt nieuwe RCE-kwetsbaarheid in Windows Print Spooler

vrijdag 2 juli 2021, 09:59 door Redactie, 9 reacties

Microsoft heeft bevestigd dat er inderdaad een nieuwe kwetsbaarheid in de Windows Print Spooler aanwezig is die remote code execution mogelijk maakt, zoals eerder al door het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit werd gesteld. Via het beveiligingslek kan een aanvaller volledige controle over het systeem krijgen. Een beveiligingsupdate is nog niet beschikbaar, maar Microsoft heeft wel workarounds gepubliceerd waarmee organisaties zich kunnen beschermen.

Eerder deze maand kwam Microsoft met een beveiligingsupdate voor een kritieke kwetsbaarheid in de Windows Print Spooler, aangeduid als CVE-2021-1675. Op internet verschenen eerder deze week verschillende exploits die stellen misbruik te maken van deze kwetsbaarheid. Nu blijkt dat deze exploits misbruik van een ander lek maken dat door Microsoft het CVE-nummer CVE-2021-34527 heeft gekregen.

Volgens het techbedrijf gaat het om een remote code execution kwetsbaarheid die lijkt op CVE-2021-1675, maar verschillend is. Een impactscore en ernst van het lek is nog niet bekend. Wel verschilt de aanvalsvector ten opzichte van het andere Spooler-lek. Om misbruik van de kwetsbaarheid te maken moet een geauthenticeerde aanvaller de functie RpcAddPrinterDriverEx aanroepen, waarmee er een printerdriver op de printserver wordt geïnstalleerd. Onder andere domeincontrollers zijn kwetsbaar.

CVE-2021-34527 is niet met de beveiligingsupdate voor CVE-2021-1675 geïntroduceerd en was daarvoor al in Windows aanwezig, laat Microsoft verder weten. Alle ondersteunde Windowsversies zijn kwetsbaar. Microsoft heeft twee tijdelijke oplossingen gepubliceerd. De eerste optie is het uitschakelen van de Print Spooler service. Dit heeft als nadeel dat het systeem niet meer kan printen. De tweede optie betreft het uitschakelen van inbound remote printing. Het systeem fungeert dan niet meer als printserver, maar lokaal printen is dan nog wel mogelijk.

Reacties (9)
02-07-2021, 10:01 door Anoniem
Microsoft heeft twee tijdelijke oplossingen gepubliceerd. De eerste optie is het uitschakelen van de Print Spooler service. Dit heeft als nadeel dat het systeem niet meer kan printen.
Hee weet je, ik kan gratis nog een advies geven: zet het hele systeem uit. Het nadeel is dat men dan niet meer kan werken.
Maar het is wel hardstikke veilig.
02-07-2021, 10:39 door Anoniem
Door Anoniem:
Microsoft heeft twee tijdelijke oplossingen gepubliceerd. De eerste optie is het uitschakelen van de Print Spooler service. Dit heeft als nadeel dat het systeem niet meer kan printen.
Hee weet je, ik kan gratis nog een advies geven: zet het hele systeem uit. Het nadeel is dat men dan niet meer kan werken.
Maar het is wel hardstikke veilig.
Kevin Mitnick is het niet met je eens.
02-07-2021, 11:30 door Anoniem
Beetje dom om zo neerbuigend te doen over de optie om de print spooler service uit te zetten.
Dat is gewoon een prima eerste stap. Ontzettend veel systemen waar die service op draait hoeven nooit te printen. Dus gewoon gezond verstand om die service dan uit te zetten.
Heel veel mensen werken nu op een bedrijfs laptop thuis en kunnen nu toch al niet veilig printen. Voor die mensen kun je het ook prima tijdelijk uit zetten.

In eerste instantie is het aantrekkelijk om er grapjes over te maken. Maar als je even een seconde extra nadenkt besef je dat het een valide optie is, en dus helemaal niet vreemd om te noemen.
02-07-2021, 12:40 door Anoniem
Ontzettend veel systemen waar die service op draait hoeven nooit te printen. Dus gewoon gezond verstand om die service dan uit te zetten.
Gezond verstand zou geweest zijn als die service dan ook gewoon nooit gedraaid zou hebben. Iets met aanvalsoppervlak verkleinen: draai niet wat je niet nodig hebt.Maar als je even een seconde extra nadenkt besef je dat het een valide optie is, en dus helemaal niet vreemd om te noemen.[/quote]Tjsa... Triest maar waar.
02-07-2021, 23:02 door Anoniem
Ik vraag me wel eens af of al die oude onderdelen soms verbeterd worden. En daar naderhand weer een nieuwe bug of een teruggekomen oude bug in vinden.
03-07-2021, 00:09 door walmare
Draai een Linux livecd op dezelfde server kan je probleemloos printen.
04-07-2021, 19:21 door Anoniem
Door walmare: Draai een Linux livecd op dezelfde server kan je probleemloos printen.
Wel een juiste en volledig gepatchte gebruiken he, anders ben je net zo kwetsbaar als een non-patched Windows systeem te gebruiken
05-07-2021, 17:18 door Anoniem
Iemand al de ssid "%secretclub%power" geprobeerd?
https://twitter.com/vm_call/status/1411630091038203909?s=20
08-07-2021, 16:40 door Anoniem
Door Anoniem: Iemand al de ssid "%secretclub%power" geprobeerd?
https://twitter.com/vm_call/status/1411630091038203909?s=20

Ik word nu wel nieuwsgierig....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.