Kaspersky: Windows Print Spooler-lekken steeds vaker misbruikt bij aanvallen
Kwetsbaarheden in de Windows Print Spooler worden steeds vaker bij aanvallen gebruikt, zo stelt antivirusbedrijf Kaspersky op basis van eigen cijfers. De Print Spooler is verantwoordelijk voor het verwerken van printjobs. Het afgelopen jaar zijn er meerdere kwetsbaarheden in dit Windowsonderdeel ontdekt, waarvan PrintNightmare de bekendste is. Ook de bekende Stuxnet-worm die systemen in de Iraanse uraniumverrijkingscentrale van Natanz saboteerde maakt onder andere misbruik van een lek in de Print Spooler.
Beveiligingslekken in dit Windowsonderdeel zijn meestal niet genoeg om systemen op afstand over te nemen en worden vooral door aanvallers die al toegang tot een systeem hebben gebruikt om hun rechten te verhogen. Kaspersky zag tussen juli 2021 en april van dit jaar zo'n 65.000 aanvallen waarbij een kwetsbaarheid in de Print Spooler werd gebruikt. Ongeveer 31.000 van deze aanvallen vonden de afgelopen vier maanden plaats, van januari tot en met april.
"Dit suggereert dat kwetsbaarheden in Windows Print Spooler een populaire aanvalsvector voor cybercriminelen blijven, wat inhoudt dat gebruikers alert moeten op beveiligingsupdates die Microsoft uitbrengt", zo laat het antivirusbedrijf weten. Onlangs kwamen de FBI en NSA met een overzicht van veel aangevallen kwetsbaarheden in 2021 waarin twee verschillende Print Spooler-lekken stonden. Gebruikers kunnen op systemen waar niet mee wordt geprint de Print Spooler-service uitschakelen.
Zoek op "Print Spooler"
Dubbelkik erop.
Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"
Doe hetzelfde voor PlugPlay service
Zoek op "Print Spooler"
Dubbelkik erop.
Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"
Doe hetzelfde voor PlugPlay service
En hoe moet ik printen dan?
Leuk zo'n "half" advies...
Zoek op "Print Spooler"
Dubbelkik erop.
Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"
Doe hetzelfde voor PlugPlay service
En hoe moet ik printen dan?
Leuk zo'n "half" advies...
Zoek op "Print Spooler"
Dubbelkik erop.
Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"
Doe hetzelfde voor PlugPlay service
Zoek op "Print Spooler"
Dubbelkik erop.
Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"
Doe hetzelfde voor PlugPlay service
Met spooler aan kijk Windows of de printer beschikbaar is en verstuurd dan de printopdracht.
Is er even geen printer beschikbaar onthoudt de spooler de printopdracht.
Dit is al zo lang Windows het spooler gebruikt.
Zoek op "Print Spooler"
Dubbelkik erop.
Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"
Doe hetzelfde voor PlugPlay service
en hoe print ik dan?
Laat je toch niet in de maling nemen.
Je ziet toch dat die instructie niet duidelijk en niet volledig is.
Win-R en zoeken op "Print Spooler" werkt niet en de rest moet je ook maar zelf invullen.
Als Windows volledig wordt gepatched dan is het disablen van de spooler service in principe niet nodig.
Als je paranoia bent dan kun je de print spooler op manual zetten en starten als je print en daarna weer uitzetten en disablen.
Het advies om de "Plug and Play" service ook te disablen is nergens op gebaseerd.
Lees dit artikel maar eens voor Windows Server 2016 en kijk eens bij "Plug and Play"
https://docs.microsoft.com/en-us/windows-server/security/windows-services/security-guidelines-for-disabling-system-services-in-windows-server
Enables a computer to recognize and adapt to hardware changes with little or no user input. Stopping or disabling this service will result in system instability.
Dus als je een niet goed werkend systeem wilt doe dit dan vooral.
Zoek op "Print Spooler"
Dubbelkik erop.
Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"
Doe hetzelfde voor PlugPlay service
Hallo, gebruiker ipv beheerder.
Dat gaat dan ook met name op servers. Dat heet hardening. Waarom moet bijv. op een Domain Controller of CA Server (zeker nu!) een printer spooler actief zijn? Er zal maar 1 of 2 servers zijn die deze functie aan hebben staan dat zijn de printer servers zelf. Tevens heeft Microsoft legio artikelen hoe je hier prima mee kan omgaan.
https://support.microsoft.com/en-us/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7
eventueel voor je lokale pctje kan je dit doen of een local port toepassen als printer. Maar zit je in een Domein of MDM opossing dan gebruik je daar de middelen.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print key, create a new DWORD-32 bit value named RpcAuthnLevelPrivacyEnabled, and set it to 0, and restart your computer.
nog wat leesvoer
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-configuration-framework/windows-security-baselines
https://docs.microsoft.com/en-us/compliance/regulatory/offering-cis-benchmark
Zoek op "Print Spooler"
Dubbelkik erop.
Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"
Doe hetzelfde voor PlugPlay service
En hoe moet ik printen dan?
Leuk zo'n "half" advies...
Mee eens, mijn thuis printer accepteert "print opdrachten" via een email naar een HP adres. (die alleen mail accepteerd van mijn persoonlijke mail adres).
Hierdoor heb ik geen "Print Spooler" nodig...
Dus tja, het kan zeker...
Maar het blijft een half advies en niet alle printers hebben een alternatieve print methode.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
