Meerdere aanvallers maken op dit moment misbruik van een kwetsbaarheid in de Windows Print Spooler wat een risico voor de veiligheid van Amerikaanse overheidsnetwerken vormt, zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Dat heeft vanwege de situatie noodinstructies afgegeven.
Het beveiligingslek, aangeduid als CVE-2021-34527 en PrintNightmare, maakt het mogelijk voor aanvallers om op afstand code met systeemrechten uit te voeren en zo snel de gehele identiteitsinfrastructuur van een aangevallen organisatie te compromitteren, aldus het CISA. Het PrintNightmare-lek wordt veroorzaakt doordat een aanvaller of gebruiker die toegang tot een printserver heeft op deze server een driver vanaf een remote locatie kan installeren.
In plaats van een driver kan een aanvaller een kwaadaardig dll-bestand opgeven. Deze code wordt vervolgens met systeemrechten door de Print Spooler uitgevoerd. Dit maakt het onder andere mogelijk om de domeincontroller van een organisatie over te nemen. Het CISA stelt dat inmiddels meerdere aanvallers misbruik van het lek maken. Daarnaast is de Amerikaanse overheidsinstantie bang dat de kwetsbaarheid, wanneer niet verholpen, zal worden gebruikt om Amerikaanse overheidsnetwerken volledig over te nemen.
Daarom heeft het CISA nu een zogeheten "Emergency Directive" afgegeven waardoor federale Amerikaanse overheidsinstanties worden verplicht om bepaalde beveiligingsmaatregelen door te voeren. Als eerste moet vanaf vandaag de Print Spooler-service op alle Microsoft Active Directory (AD) domeincontrollers (DC) worden gestopt en uitgeschakeld.
Voor aankomende dinsdag 20 juli moeten daarnaast alle Windows-beveiligingsupdates van deze maand op servers en werkstations zijn geïnstalleerd. De laatste en derde verplichting betreft het uitschakelen van de Spooler-service op hosts of het configureren van Point and Print zodat alleen systeembeheerders printerdrivers kunnen installeren. Amerikaanse overheidsinstanties moeten deze maatregelen doorvoeren en rapportages hierover bij het CISA inleveren.
Deze posting is gelocked. Reageren is niet meer mogelijk.