VS ziet misbruik van Windows Print Spooler-lek en geeft noodinstructies af
Meerdere aanvallers maken op dit moment misbruik van een kwetsbaarheid in de Windows Print Spooler wat een risico voor de veiligheid van Amerikaanse overheidsnetwerken vormt, zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Dat heeft vanwege de situatie noodinstructies afgegeven.
Het beveiligingslek, aangeduid als CVE-2021-34527 en PrintNightmare, maakt het mogelijk voor aanvallers om op afstand code met systeemrechten uit te voeren en zo snel de gehele identiteitsinfrastructuur van een aangevallen organisatie te compromitteren, aldus het CISA. Het PrintNightmare-lek wordt veroorzaakt doordat een aanvaller of gebruiker die toegang tot een printserver heeft op deze server een driver vanaf een remote locatie kan installeren.
In plaats van een driver kan een aanvaller een kwaadaardig dll-bestand opgeven. Deze code wordt vervolgens met systeemrechten door de Print Spooler uitgevoerd. Dit maakt het onder andere mogelijk om de domeincontroller van een organisatie over te nemen. Het CISA stelt dat inmiddels meerdere aanvallers misbruik van het lek maken. Daarnaast is de Amerikaanse overheidsinstantie bang dat de kwetsbaarheid, wanneer niet verholpen, zal worden gebruikt om Amerikaanse overheidsnetwerken volledig over te nemen.
Daarom heeft het CISA nu een zogeheten "Emergency Directive" afgegeven waardoor federale Amerikaanse overheidsinstanties worden verplicht om bepaalde beveiligingsmaatregelen door te voeren. Als eerste moet vanaf vandaag de Print Spooler-service op alle Microsoft Active Directory (AD) domeincontrollers (DC) worden gestopt en uitgeschakeld.
Voor aankomende dinsdag 20 juli moeten daarnaast alle Windows-beveiligingsupdates van deze maand op servers en werkstations zijn geïnstalleerd. De laatste en derde verplichting betreft het uitschakelen van de Spooler-service op hosts of het configureren van Point and Print zodat alleen systeembeheerders printerdrivers kunnen installeren. Amerikaanse overheidsinstanties moeten deze maatregelen doorvoeren en rapportages hierover bij het CISA inleveren.
Goed zo! (Is ook veel beter voor het milieu.)
Goed zo! (Is ook veel beter voor het milieu.)
Hoeveel denk je dat er geprint wordt via print spoolers op DC's? Hint: niet, of je hebt het echt niet begrepen.
Nu dus wel. Anders was het probleem niet zo groot.
Goed zo! (Is ook veel beter voor het milieu.)
Hoeveel denk je dat er geprint wordt via print spoolers op DC's? Hint: niet, of je hebt het echt niet begrepen.
Goed zo! (Is ook veel beter voor het milieu.)
Hoeveel denk je dat er geprint wordt via print spoolers op DC's? Hint: niet, of je hebt het echt niet begrepen.
Nogmaals, niet op DC's. Een DC is geen printserver. Of ja, bijna nooit ;)
https://en.wikipedia.org/wiki/Domain_controller
Goed zo! (Is ook veel beter voor het milieu.)
Hoeveel denk je dat er geprint wordt via print spoolers op DC's? Hint: niet, of je hebt het echt niet begrepen.
WTF? Wie zou er een printer-spooler installeren op dergelijke servers? Dat kan je toch wel uitzetten?
Goed zo! (Is ook veel beter voor het milieu.)
Hoeveel denk je dat er geprint wordt via print spoolers op DC's? Hint: niet, of je hebt het echt niet begrepen.
WTF? Wie zou er een printer-spooler installeren op dergelijke servers? Dat kan je toch wel uitzetten?
Ik heb geen ervaring met het installeren van geen controllers, maar ik zou denken dat een kritisch component als een domain controller default geen onnodige services aan boord heeft. Als het er niet is, kan het ook niet misbruikt worden. Dat zijn simpelweg de best practices van hardening
Die Emergency Directive is heerlijk helder: er staat in wat je moet doen, wanneer het klaar moet zijn, en ook wat en wanneer je moet rapporteren. Yes, Sir!!
Goed zo! (Is ook veel beter voor het milieu.)
Hoeveel denk je dat er geprint wordt via print spoolers op DC's? Hint: niet, of je hebt het echt niet begrepen.
WTF? Wie zou er een printer-spooler installeren op dergelijke servers? Dat kan je toch wel uitzetten?
Wat denk je van MKB bedrijven, die vlug een omgeving in elkaar hebben gegooid in de tijd van Windows 2000? Aangezien het goed werkt, is er steeds doorgebouwd op een omgeving met 1 echte server die DC, fileserver en printserver is en waarbij 1 werkstation staat als goedkope 2e DC voor het geval er een keer een storing is.
Goed zo! (Is ook veel beter voor het milieu.)
Hoeveel denk je dat er geprint wordt via print spoolers op DC's? Hint: niet, of je hebt het echt niet begrepen.
WTF? Wie zou er een printer-spooler installeren op dergelijke servers? Dat kan je toch wel uitzetten?
Ik heb geen ervaring met het installeren van geen controllers, maar ik zou denken dat een kritisch component als een domain controller default geen onnodige services aan boord heeft. Als het er niet is, kan het ook niet misbruikt worden. Dat zijn simpelweg de best practices van hardening
Precies! En daarom heeft een server ook geen GUI (want waarom zou je die nodig hebben voor een server?) Weglating van onnodige zaken bij de installatie vermindert het aanvalsoppervlak significant. Je kan bij Windows toch wel de GUI uitvinken bij het installeren? Van dat installatieprogramma is toch wel een non-GUI variant? Niet zeg je? Is de GUI van Windows verspaghetticoded met de lagere lagen van het besturingssysteem? Is er eigenlijk überhaupt wel sprake van lagen in de Windows architectuur?
Zoals terecht wordt gesteld door een andere reageerder is het nogal vreemd om een print spooler te willen installeren op een domain controller of directory server. Als dergelijke componenten niet verspaghetticoded zouden zijn met de rest van het besturingssysteem dan zou je het gewoon niet kunnen installeren.
Microsoft Windows:
[x] Ongeschikt als serverbesturingssysteem.
[x] Alleen geschikt voor lichte consumententoepassingen.
[x] Ongeschikt voor lichte consumententoepassingen.
Het is inderdaad totaal onduidelijk wat er nou eigenlijk staat in die reactie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
