image

VS ziet misbruik van Windows Print Spooler-lek en geeft noodinstructies af

woensdag 14 juli 2021, 10:56 door Redactie, 16 reacties
Laatst bijgewerkt: 14-07-2021, 11:56

Meerdere aanvallers maken op dit moment misbruik van een kwetsbaarheid in de Windows Print Spooler wat een risico voor de veiligheid van Amerikaanse overheidsnetwerken vormt, zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Dat heeft vanwege de situatie noodinstructies afgegeven.

Het beveiligingslek, aangeduid als CVE-2021-34527 en PrintNightmare, maakt het mogelijk voor aanvallers om op afstand code met systeemrechten uit te voeren en zo snel de gehele identiteitsinfrastructuur van een aangevallen organisatie te compromitteren, aldus het CISA. Het PrintNightmare-lek wordt veroorzaakt doordat een aanvaller of gebruiker die toegang tot een printserver heeft op deze server een driver vanaf een remote locatie kan installeren.

In plaats van een driver kan een aanvaller een kwaadaardig dll-bestand opgeven. Deze code wordt vervolgens met systeemrechten door de Print Spooler uitgevoerd. Dit maakt het onder andere mogelijk om de domeincontroller van een organisatie over te nemen. Het CISA stelt dat inmiddels meerdere aanvallers misbruik van het lek maken. Daarnaast is de Amerikaanse overheidsinstantie bang dat de kwetsbaarheid, wanneer niet verholpen, zal worden gebruikt om Amerikaanse overheidsnetwerken volledig over te nemen.

Daarom heeft het CISA nu een zogeheten "Emergency Directive" afgegeven waardoor federale Amerikaanse overheidsinstanties worden verplicht om bepaalde beveiligingsmaatregelen door te voeren. Als eerste moet vanaf vandaag de Print Spooler-service op alle Microsoft Active Directory (AD) domeincontrollers (DC) worden gestopt en uitgeschakeld.

Voor aankomende dinsdag 20 juli moeten daarnaast alle Windows-beveiligingsupdates van deze maand op servers en werkstations zijn geïnstalleerd. De laatste en derde verplichting betreft het uitschakelen van de Spooler-service op hosts of het configureren van Point and Print zodat alleen systeembeheerders printerdrivers kunnen installeren. Amerikaanse overheidsinstanties moeten deze maatregelen doorvoeren en rapportages hierover bij het CISA inleveren.

Reacties (16)
14-07-2021, 11:19 door [Account Verwijderd]
Daarom heeft het CISA nu een zogeheten "Emergency Directive" afgegeven waardoor federale Amerikaanse overheidsinstanties worden verplicht om bepaalde beveiligingsmaatregelen door te voeren. Als eerste moet vanaf vandaag de Print Spooler-service op alle Microsoft Active Directory (AD) domeincontrollers (DC) worden gestopt en uitgeschakeld.

Goed zo! (Is ook veel beter voor het milieu.)
14-07-2021, 11:45 door Anoniem
Waarom alleen de print spooler?
14-07-2021, 13:17 door pandadriver
Ik weet niet hoe het bij de rest zit, maar bij ons kan geen enkele gebruiker een printer driver installeren
14-07-2021, 17:09 door Anoniem
Door Anoniem: Waarom alleen de print spooler?
Goed punt. Een stukje windows uitzetten is al een enorme buiging.
14-07-2021, 18:29 door Anoniem
Door Toje Fos:
Daarom heeft het CISA nu een zogeheten "Emergency Directive" afgegeven waardoor federale Amerikaanse overheidsinstanties worden verplicht om bepaalde beveiligingsmaatregelen door te voeren. Als eerste moet vanaf vandaag de Print Spooler-service op alle Microsoft Active Directory (AD) domeincontrollers (DC) worden gestopt en uitgeschakeld.

Goed zo! (Is ook veel beter voor het milieu.)

Hoeveel denk je dat er geprint wordt via print spoolers op DC's? Hint: niet, of je hebt het echt niet begrepen.
14-07-2021, 18:30 door Anoniem
Door pandadriver: Ik weet niet hoe het bij de rest zit, maar bij ons kan geen enkele gebruiker een printer driver installeren

Nu dus wel. Anders was het probleem niet zo groot.
14-07-2021, 21:08 door Anoniem
Door Anoniem:
Door Toje Fos:
Daarom heeft het CISA nu een zogeheten "Emergency Directive" afgegeven waardoor federale Amerikaanse overheidsinstanties worden verplicht om bepaalde beveiligingsmaatregelen door te voeren. Als eerste moet vanaf vandaag de Print Spooler-service op alle Microsoft Active Directory (AD) domeincontrollers (DC) worden gestopt en uitgeschakeld.

Goed zo! (Is ook veel beter voor het milieu.)

Hoeveel denk je dat er geprint wordt via print spoolers op DC's? Hint: niet, of je hebt het echt niet begrepen.
Veel want het is zo handig.
15-07-2021, 00:02 door Anoniem
Door Anoniem:
Door Anoniem:
Door Toje Fos:
Daarom heeft het CISA nu een zogeheten "Emergency Directive" afgegeven waardoor federale Amerikaanse overheidsinstanties worden verplicht om bepaalde beveiligingsmaatregelen door te voeren. Als eerste moet vanaf vandaag de Print Spooler-service op alle Microsoft Active Directory (AD) domeincontrollers (DC) worden gestopt en uitgeschakeld.

Goed zo! (Is ook veel beter voor het milieu.)

Hoeveel denk je dat er geprint wordt via print spoolers op DC's? Hint: niet, of je hebt het echt niet begrepen.
Veel want het is zo handig.

Nogmaals, niet op DC's. Een DC is geen printserver. Of ja, bijna nooit ;)

https://en.wikipedia.org/wiki/Domain_controller
15-07-2021, 01:12 door [Account Verwijderd] - Bijgewerkt: 15-07-2021, 01:13
Door Anoniem:
Door Toje Fos: ...
Goed zo! (Is ook veel beter voor het milieu.)

Hoeveel denk je dat er geprint wordt via print spoolers op DC's? Hint: niet, of je hebt het echt niet begrepen.

WTF? Wie zou er een printer-spooler installeren op dergelijke servers? Dat kan je toch wel uitzetten?
15-07-2021, 08:03 door Anoniem
Door Toje Fos:
Door Anoniem:
Door Toje Fos: ...
Goed zo! (Is ook veel beter voor het milieu.)

Hoeveel denk je dat er geprint wordt via print spoolers op DC's? Hint: niet, of je hebt het echt niet begrepen.

WTF? Wie zou er een printer-spooler installeren op dergelijke servers? Dat kan je toch wel uitzetten?
Hardening....wat is dat? Als je dit soort zaken niet uitgeschakeld hebt, verdien je het eigenlijk ook om gehackt te worden.

Ik heb geen ervaring met het installeren van geen controllers, maar ik zou denken dat een kritisch component als een domain controller default geen onnodige services aan boord heeft. Als het er niet is, kan het ook niet misbruikt worden. Dat zijn simpelweg de best practices van hardening
15-07-2021, 09:05 door Roger63
Door Toje Fos: WTF? Wie zou er een printer-spooler installeren op dergelijke servers? Dat kan je toch wel uitzetten?
De print spooler is een basiscomponent van elk Windows systeem en staat standaard aan. Als je de print spooler uit zet, kun je op het systeem helemaal niet meer printen (ook niet naar bv. een lokale PDF-printer). Ook kunnen applicaties die de Printing API gebruiken problemen krijgen zelfs als je niet print. Maar op een dedicated domain controller die remote wordt beheerd zou het geen probleem mogen zijn.

Die Emergency Directive is heerlijk helder: er staat in wat je moet doen, wanneer het klaar moet zijn, en ook wat en wanneer je moet rapporteren. Yes, Sir!!
15-07-2021, 09:07 door Anoniem
Door Toje Fos:
Door Anoniem:
Door Toje Fos: ...
Goed zo! (Is ook veel beter voor het milieu.)

Hoeveel denk je dat er geprint wordt via print spoolers op DC's? Hint: niet, of je hebt het echt niet begrepen.

WTF? Wie zou er een printer-spooler installeren op dergelijke servers? Dat kan je toch wel uitzetten?

Wat denk je van MKB bedrijven, die vlug een omgeving in elkaar hebben gegooid in de tijd van Windows 2000? Aangezien het goed werkt, is er steeds doorgebouwd op een omgeving met 1 echte server die DC, fileserver en printserver is en waarbij 1 werkstation staat als goedkope 2e DC voor het geval er een keer een storing is.
15-07-2021, 12:29 door [Account Verwijderd] - Bijgewerkt: 15-07-2021, 12:33
Door Anoniem:
Door Toje Fos:
Door Anoniem:
Door Toje Fos: ...
Goed zo! (Is ook veel beter voor het milieu.)

Hoeveel denk je dat er geprint wordt via print spoolers op DC's? Hint: niet, of je hebt het echt niet begrepen.

WTF? Wie zou er een printer-spooler installeren op dergelijke servers? Dat kan je toch wel uitzetten?
Hardening....wat is dat? Als je dit soort zaken niet uitgeschakeld hebt, verdien je het eigenlijk ook om gehackt te worden.

Ik heb geen ervaring met het installeren van geen controllers, maar ik zou denken dat een kritisch component als een domain controller default geen onnodige services aan boord heeft. Als het er niet is, kan het ook niet misbruikt worden. Dat zijn simpelweg de best practices van hardening

Precies! En daarom heeft een server ook geen GUI (want waarom zou je die nodig hebben voor een server?) Weglating van onnodige zaken bij de installatie vermindert het aanvalsoppervlak significant. Je kan bij Windows toch wel de GUI uitvinken bij het installeren? Van dat installatieprogramma is toch wel een non-GUI variant? Niet zeg je? Is de GUI van Windows verspaghetticoded met de lagere lagen van het besturingssysteem? Is er eigenlijk überhaupt wel sprake van lagen in de Windows architectuur?

Door Roger63:
Door Toje Fos: WTF? Wie zou er een printer-spooler installeren op dergelijke servers? Dat kan je toch wel uitzetten?
De print spooler is een basiscomponent van elk Windows systeem en staat standaard aan. Als je de print spooler uit zet, kun je op het systeem helemaal niet meer printen (ook niet naar bv. een lokale PDF-printer). Ook kunnen applicaties die de Printing API gebruiken problemen krijgen zelfs als je niet print. Maar op een dedicated domain controller die remote wordt beheerd zou het geen probleem mogen zijn....

Zoals terecht wordt gesteld door een andere reageerder is het nogal vreemd om een print spooler te willen installeren op een domain controller of directory server. Als dergelijke componenten niet verspaghetticoded zouden zijn met de rest van het besturingssysteem dan zou je het gewoon niet kunnen installeren.

Microsoft Windows:

[x] Ongeschikt als serverbesturingssysteem.
[x] Alleen geschikt voor lichte consumententoepassingen.
[x] Ongeschikt voor lichte consumententoepassingen.
15-07-2021, 18:22 door karma4
Door Toje Fos:Zoals terecht wordt gesteld door een andere reageerder is het nogal vreemd om een print spooler te willen installeren op een domain controller of directory server. Als dergelijke componenten niet verspaghetticoded zouden zijn met de rest van het besturingssysteem dan zou je het gewoon niet kunnen installeren. ...
Als je serieus in het gebruik neerzet dan lukt het ook niet. Wel met dat andere onfeilbare OS. Wat packages en huppakee weer het nodige onder root en bekende harde code user-ids en passwords.
15-07-2021, 23:54 door walmare - Bijgewerkt: 16-07-2021, 00:07
Door karma4:
Door Toje Fos:Zoals terecht wordt gesteld door een andere reageerder is het nogal vreemd om een print spooler te willen installeren op een domain controller of directory server. Als dergelijke componenten niet verspaghetticoded zouden zijn met de rest van het besturingssysteem dan zou je het gewoon niet kunnen installeren. ...
Als je serieus in het gebruik neerzet dan lukt het ook niet. Wel met dat andere onfeilbare OS. Wat packages en huppakee weer het nodige onder root en bekende harde code user-ids en passwords.
Frustratie druipt er van af.. waarschijnlijk een wijntje te veel?
16-07-2021, 08:37 door [Account Verwijderd]
Door walmare:
Door karma4:
Door Toje Fos: ... Als dergelijke componenten niet verspaghetticoded zouden zijn met de rest van het besturingssysteem dan zou je het gewoon niet kunnen installeren. ...
Als je serieus in het gebruik neerzet dan lukt het ook niet. Wel met dat andere onfeilbare OS. Wat packages en huppakee weer het nodige onder root en bekende harde code user-ids en passwords.
Frustratie druipt er van af.. waarschijnlijk een wijntje te veel?

Het is inderdaad totaal onduidelijk wat er nou eigenlijk staat in die reactie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.