Microsoft heeft bevestigd dat er inderdaad een nieuwe kwetsbaarheid in de Windows Print Spooler aanwezig is die remote code execution mogelijk maakt, zoals eerder al door het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit werd gesteld. Via het beveiligingslek kan een aanvaller volledige controle over het systeem krijgen. Een beveiligingsupdate is nog niet beschikbaar, maar Microsoft heeft wel workarounds gepubliceerd waarmee organisaties zich kunnen beschermen.
Eerder deze maand kwam Microsoft met een beveiligingsupdate voor een kritieke kwetsbaarheid in de Windows Print Spooler, aangeduid als CVE-2021-1675. Op internet verschenen eerder deze week verschillende exploits die stellen misbruik te maken van deze kwetsbaarheid. Nu blijkt dat deze exploits misbruik van een ander lek maken dat door Microsoft het CVE-nummer CVE-2021-34527 heeft gekregen.
Volgens het techbedrijf gaat het om een remote code execution kwetsbaarheid die lijkt op CVE-2021-1675, maar verschillend is. Een impactscore en ernst van het lek is nog niet bekend. Wel verschilt de aanvalsvector ten opzichte van het andere Spooler-lek. Om misbruik van de kwetsbaarheid te maken moet een geauthenticeerde aanvaller de functie RpcAddPrinterDriverEx aanroepen, waarmee er een printerdriver op de printserver wordt geïnstalleerd. Onder andere domeincontrollers zijn kwetsbaar.
CVE-2021-34527 is niet met de beveiligingsupdate voor CVE-2021-1675 geïntroduceerd en was daarvoor al in Windows aanwezig, laat Microsoft verder weten. Alle ondersteunde Windowsversies zijn kwetsbaar. Microsoft heeft twee tijdelijke oplossingen gepubliceerd. De eerste optie is het uitschakelen van de Print Spooler service. Dit heeft als nadeel dat het systeem niet meer kan printen. De tweede optie betreft het uitschakelen van inbound remote printing. Het systeem fungeert dan niet meer als printserver, maar lokaal printen is dan nog wel mogelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.