Microsoft: zerodaylek in Windows Print Spooler jarenlang gebruikt bij aanvallen
Een zerodaylek in de Windows Print Spooler-service, dat door de Amerikaanse geheime dienst NSA aan Microsoft werd gerapporteerd, is jarenlang gebruikt bij aanvallen, aldus het techbedrijf. Via de kwetsbaarheid kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen tot het SYSTEM-niveau, waarmee volledige controle over het systeem wordt verkregen.
Microsoft kwam op 11 oktober 2022 met een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2022-38028. Het techbedrijf bedankte destijds de NSA voor het rapporteren van het probleem. In een nieuwe analyse meldt Microsoft dat een aan de Russische geheime dienst gelieerde groep die wordt aangeduid als APT28, Fancy Bear en Forest Blizzard, sinds juni 2020 misbruik van het beveiligingslek maakt en dit mogelijk al sinds april 2019 doet.
Zodra de aanvallers toegang tot een systeem hebben misbruiken ze de kwetsbaarheid om hun rechten te verhogen en vervolgens inloggegevens te stelen, aldus Microsoft. Het techbedrijf roept organisaties op om de kwetsbaarheid voor CVE-2022-38028 zo snel mogelijk te installeren als dat nog niet is gedaan. Verder adviseert Microsoft het uitschakelen van de Windows Print Spooler-service op domaincontrollers, omdat deze service niet vereist is voor het functioneren van de controller.
Reacties (26)
23-04-2024, 10:18 door
Anoniem
Verder adviseert Microsoft het uitschakelen van de Windows Print Spooler-service op domaincontrollers, omdat deze service niet vereist is voor het functioneren van de controller
Kleine klantjes hebben niet altijd de mogelijkheid om meerdere servers neer te zetten, waar toch een on-premise oplossing gewenst is voor bepaalde software pakketen.
Pas geleden een Win2022 server neer gezet, met een simpele Windows Server Backup,
die werkte opeens niet meer, het 'server manager' dashboard wou niet meer verversen met foutmeldingen.
de oplossing? het herstarten van de print spooler...
Dus nee hij zal niet nodig zijn voor de AD functionaliteit, echter andere dingen gaan ook 'stuk' als de print spooler niet draait..
23-04-2024, 10:20 door
Anoniem
En daarom behoort een computer alle poorten dicht te hebben tenzij anders aangegeven...
Ik hoef geen SMB tenzij ik mijn netwerkfolder open, ik hoef geen printer tenzij ik naar printers zoek, etc.
De enige binnenkomende pakketten die ik by default wil toestaan zijn ICMP. (voor ping etc)
Ik hoef geen SMB tenzij ik mijn netwerkfolder open, ik hoef geen printer tenzij ik naar printers zoek, etc.
De enige binnenkomende pakketten die ik by default wil toestaan zijn ICMP. (voor ping etc)
23-04-2024, 10:40 door
Anoniem
Het feit alleen al dat men een windows printspooler aanbiedt op een domain controller is zo van de zotte en er dan ook nog gebruik van maakt bij zo'n beetje elke gemeente. Alleen een Failliet systeem is elke maand zeroday lek.
Elke security specialist (behalve de windows georiënteerde dan) weet dat je daar een aparte VM voor moet gebruiken.
Elke security specialist (behalve de windows georiënteerde dan) weet dat je daar een aparte VM voor moet gebruiken.
23-04-2024, 11:40 door
Anoniem
Ja de NSA heeft nu een ander 'lek gevonden', en het is natuurlijk wel zo dat ze het alleenrecht hierop willen hebben.
23-04-2024, 12:03 door
JustMe2020
Door Anoniem: En daarom behoort een computer alle poorten dicht te hebben tenzij anders aangegeven...
Ik hoef geen SMB tenzij ik mijn netwerkfolder open, ik hoef geen printer tenzij ik naar printers zoek, etc.
De enige binnenkomende pakketten die ik by default wil toestaan zijn ICMP. (voor ping etc)
Leuk voor je thuis, maar in een bedrijf totaal nutteloos als oplossing.Ik hoef geen SMB tenzij ik mijn netwerkfolder open, ik hoef geen printer tenzij ik naar printers zoek, etc.
De enige binnenkomende pakketten die ik by default wil toestaan zijn ICMP. (voor ping etc)
Port beheer is trouwens vrij legacy als je er naar kijkt. Je wilt eigenlijk applicatie + port beheren op je firewall.
23-04-2024, 12:23 door
_R0N_
Een beetje bedrijf heeft een firewall tussen het LAN en WAN.
Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
23-04-2024, 13:29 door
Anoniem
Door _R0N_: Een beetje bedrijf heeft een firewall tussen het LAN en WAN.
Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
Meeste bedrijven waar ik kom hebben nog een printer. Dan is een print spooler wel nodig zodra er meer dan 1 printer is of meerdere personen tegelijk willen printen.
23-04-2024, 14:49 door
Anoniem
Door Anoniem:
Meeste bedrijven waar ik kom hebben nog een printer. Dan is een print spooler wel nodig zodra er meer dan 1 printer is of meerdere personen tegelijk willen printen.
Meeste bedrijven waar ik kom hebben nog een printer. Dan is een print spooler wel nodig zodra er meer dan 1 printer is of meerdere personen tegelijk willen printen.
Daar hebben ze een printer server voor uitgevonden.
DC's zijn alleen voor DC's
23-04-2024, 14:58 door
Anoniem
Door _R0N_: Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
Al jaren algemeen security advies en gezond verstand om alle services die je niet gebruikt uit te zetten.
23-04-2024, 15:01 door
Anoniem
Weer een duidelijk signaal dat het veel verstandiger is om opensource software te draaien. Voor printen https://www.savapage.org
Niet dat er dan nooit 0-days kunnen voorkomen, maar deze kunnen sneller gevonden worden en je kunt zelf de code (laten)auditen.
Niet dat er dan nooit 0-days kunnen voorkomen, maar deze kunnen sneller gevonden worden en je kunt zelf de code (laten)auditen.
23-04-2024, 15:06 door
Anoniem
Door Anoniem:
Kleine klantjes hebben niet altijd de mogelijkheid om meerdere servers neer te zetten, waar toch een on-premise oplossing gewenst is voor bepaalde software pakketen.
Pas geleden een Win2022 server neer gezet, met een simpele Windows Server Backup,
die werkte opeens niet meer, het 'server manager' dashboard wou niet meer verversen met foutmeldingen.
de oplossing? het herstarten van de print spooler...
Dus nee hij zal niet nodig zijn voor de AD functionaliteit, echter andere dingen gaan ook 'stuk' als de print spooler niet draait..
Verder adviseert Microsoft het uitschakelen van de Windows Print Spooler-service op domaincontrollers, omdat deze service niet vereist is voor het functioneren van de controller
Kleine klantjes hebben niet altijd de mogelijkheid om meerdere servers neer te zetten, waar toch een on-premise oplossing gewenst is voor bepaalde software pakketen.
Pas geleden een Win2022 server neer gezet, met een simpele Windows Server Backup,
die werkte opeens niet meer, het 'server manager' dashboard wou niet meer verversen met foutmeldingen.
de oplossing? het herstarten van de print spooler...
Dus nee hij zal niet nodig zijn voor de AD functionaliteit, echter andere dingen gaan ook 'stuk' als de print spooler niet draait..
Waarom zet je dan ook servers neer met dergelijk spaghetti code dat problemen moet oplossen door schijnbaar ongerelateerde processen te herstarten?
Een betere oplossing is dan een Linux machine met wat VM's en/of containers waarin je functies netjes van elkaar scheid.
23-04-2024, 15:16 door
Anoniem
Door Anoniem:
Meeste bedrijven waar ik kom hebben nog een printer. Dan is een print spooler wel nodig zodra er meer dan 1 printer is of meerdere personen tegelijk willen printen.
Door _R0N_: Een beetje bedrijf heeft een firewall tussen het LAN en WAN.
Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
Meeste bedrijven waar ik kom hebben nog een printer. Dan is een print spooler wel nodig zodra er meer dan 1 printer is of meerdere personen tegelijk willen printen.
Ja, maar niet op de domain controller.
Een beetje serieuze netwerkprinter is ook gewoon prima bruikbaar zonder dat er een losse printserver nodig is.
23-04-2024, 16:09 door
_R0N_
Door Anoniem:
Meeste bedrijven waar ik kom hebben nog een printer. Dan is een print spooler wel nodig zodra er meer dan 1 printer is of meerdere personen tegelijk willen printen.
Door _R0N_: Een beetje bedrijf heeft een firewall tussen het LAN en WAN.
Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
Meeste bedrijven waar ik kom hebben nog een printer. Dan is een print spooler wel nodig zodra er meer dan 1 printer is of meerdere personen tegelijk willen printen.
De meeste printers hebben tegenwoordig een eigen printspooler die voldoende geheugen heeft om direct op af te leveren over IP.
Daarnaast hoeft de print spooler niet aanwezig te zijn op een Domain Controller en hoeft al helemaal niet benaderbaar te zijn voor de boze buitenwereld.
23-04-2024, 16:35 door
Anoniem
Door Anoniem:
Waarom zet je dan ook servers neer met dergelijk spaghetti code dat problemen moet oplossen door schijnbaar ongerelateerde processen te herstarten?
Een betere oplossing is dan een Linux machine met wat VM's en/of containers waarin je functies netjes van elkaar scheid.
Dat komt omdat die gasten overal dure datacenter licenties voor moeten betalen en daarom proppen ze het op 1 server en daarom functioneert het al jaren voor geen meter bij de overheid https://www.agconnect.nl/maatschappij/overheid/manifest-tegen-ict-onkunde-overheid-aangeboden-aan-partijen[/ur]Door Anoniem:
Kleine klantjes hebben niet altijd de mogelijkheid om meerdere servers neer te zetten, waar toch een on-premise oplossing gewenst is voor bepaalde software pakketen.
Pas geleden een Win2022 server neer gezet, met een simpele Windows Server Backup,
die werkte opeens niet meer, het 'server manager' dashboard wou niet meer verversen met foutmeldingen.
de oplossing? het herstarten van de print spooler...
Dus nee hij zal niet nodig zijn voor de AD functionaliteit, echter andere dingen gaan ook 'stuk' als de print spooler niet draait..
Verder adviseert Microsoft het uitschakelen van de Windows Print Spooler-service op domaincontrollers, omdat deze service niet vereist is voor het functioneren van de controller
Kleine klantjes hebben niet altijd de mogelijkheid om meerdere servers neer te zetten, waar toch een on-premise oplossing gewenst is voor bepaalde software pakketen.
Pas geleden een Win2022 server neer gezet, met een simpele Windows Server Backup,
die werkte opeens niet meer, het 'server manager' dashboard wou niet meer verversen met foutmeldingen.
de oplossing? het herstarten van de print spooler...
Dus nee hij zal niet nodig zijn voor de AD functionaliteit, echter andere dingen gaan ook 'stuk' als de print spooler niet draait..
Waarom zet je dan ook servers neer met dergelijk spaghetti code dat problemen moet oplossen door schijnbaar ongerelateerde processen te herstarten?
Een betere oplossing is dan een Linux machine met wat VM's en/of containers waarin je functies netjes van elkaar scheid.
23-04-2024, 16:41 door
Anoniem
Door _R0N_: Een beetje bedrijf heeft een firewall tussen het LAN en WAN.
Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
Dat is niet waar want het staat al jaren default aan ook op de domain controler!! https://www.digitaltrustcenter.nl/nieuws/kritieke-kwetsbaarheid-in-windows-printnightmareAl jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
23-04-2024, 17:54 door
Anoniem
Door Anoniem: Weer een duidelijk signaal dat het veel verstandiger is om opensource software te draaien. Voor printen https://www.savapage.org
Ik heb deze site even bekeken. Maar ziet er erg amateuristisch uit. Ik zou dit nooit bij mijn klanten durven aan te bieden.
Niet dat er dan nooit 0-days kunnen voorkomen, maar deze kunnen sneller gevonden worden en je kunt zelf de code (laten)auditen.
kuch kuch xzMaar klinkt altijd leuk, maar niemand doet dit eigenlijk.
23-04-2024, 18:18 door
Anoniem
Door Anoniem:
Ja, maar niet op de domain controller.
Een beetje serieuze netwerkprinter is ook gewoon prima bruikbaar zonder dat er een losse printserver nodig is.
in het artiekel staat dat het icm een dc is. Echter maakt het voor een gevoirderde hacker niet uit gezien er een authenticatie plaats vind. Deze is met redirect te gebruiken. Bouncen op een router maakt het interesanter met vlans. De print server is degene die de printspooler heeft en aanstuurt. Je dient de configuratie wel te onderzoeken.Door Anoniem:
Meeste bedrijven waar ik kom hebben nog een printer. Dan is een print spooler wel nodig zodra er meer dan 1 printer is of meerdere personen tegelijk willen printen.
Door _R0N_: Een beetje bedrijf heeft een firewall tussen het LAN en WAN.
Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
Meeste bedrijven waar ik kom hebben nog een printer. Dan is een print spooler wel nodig zodra er meer dan 1 printer is of meerdere personen tegelijk willen printen.
Ja, maar niet op de domain controller.
Een beetje serieuze netwerkprinter is ook gewoon prima bruikbaar zonder dat er een losse printserver nodig is.
Ps dat de printspooler op printers staat zorgt dat de printer gehacht word en het netwerk verder kan infecteren. Zeker als een printer 5+jaar is. Zelf een thinclient heeft een print spooler service nodig om de afdruk te kunnen verzenden. Ongeacht of de print spooler server op de printer of dedicated server ergens draait.
23-04-2024, 18:28 door
Anoniem
Door Anoniem: Weer een duidelijk signaal dat het veel verstandiger is om opensource software te draaien. Voor printen https://www.savapage.org
Niet dat er dan nooit 0-days kunnen voorkomen, maar deze kunnen sneller gevonden worden en je kunt zelf de code (laten)auditen.
Dat is een veel genoemd argument, maar nog nooit iemand kunnen betrappen, die dat ook doet. Ze wijzen er alleen op, dat een ander het maar moet doen.Niet dat er dan nooit 0-days kunnen voorkomen, maar deze kunnen sneller gevonden worden en je kunt zelf de code (laten)auditen.
23-04-2024, 18:36 door
Anoniem
Door Anoniem:
Staat mischien wel default aan maar certificering en techsite van Microsoft gaven aan om als deze niet word gebruikt uit te zetten. ( Je moest wel zoeken op de techsite )Door _R0N_: Een beetje bedrijf heeft een firewall tussen het LAN en WAN.
Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
Dat is niet waar want het staat al jaren default aan ook op de domain controler!! https://www.digitaltrustcenter.nl/nieuws/kritieke-kwetsbaarheid-in-windows-printnightmareAl jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
23-04-2024, 22:05 door
Anoniem
printspooler is toch al 20 jaar een backdoor?
24-04-2024, 08:01 door
Anoniem
Door Anoniem:
Al jaren algemeen security advies en gezond verstand om alle services die je niet gebruikt uit te zetten.
Door _R0N_: Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
Al jaren algemeen security advies en gezond verstand om alle services die je niet gebruikt uit te zetten.
by default alles dicht en alleen open wat open moet zetten. maar dat is vaak te ingewikkeld voor MS admins => alles open en god zij met u. zo komt het ook uit de doos bij MS blijkt keer op keer.
24-04-2024, 08:02 door
Anoniem
Door Anoniem: printspooler is toch al 20 jaar een backdoor?
en nu nog STEEDS dus...
24-04-2024, 13:54 door
Anoniem
Door Anoniem:
Logisch dat jij nog niemand hebt kunnen betrappen want jij werkt niet in die community en begrijpt dus de nieuwe manier van werken ( Cathedral vs The Bazaar) niet! Door Anoniem: Weer een duidelijk signaal dat het veel verstandiger is om opensource software te draaien. Voor printen https://www.savapage.org
Niet dat er dan nooit 0-days kunnen voorkomen, maar deze kunnen sneller gevonden worden en je kunt zelf de code (laten)auditen.
Dat is een veel genoemd argument, maar nog nooit iemand kunnen betrappen, die dat ook doet. Ze wijzen er alleen op, dat een ander het maar moet doen.Niet dat er dan nooit 0-days kunnen voorkomen, maar deze kunnen sneller gevonden worden en je kunt zelf de code (laten)auditen.
Als er niet naar gekeken zou worden zou Linux windows op ransomware gebied al lang voorbij zijn gestevend.
24-04-2024, 15:24 door
Joep Lunaar
Door Anoniem:
Ik zou dit nooit bij mijn klanten durven aan te bieden.
...
Wat bedoel je ? Mis je Platinum certified bla bla van MS ?Door Anoniem: Weer een duidelijk signaal dat het veel verstandiger is om opensource software te draaien. Voor printen https://www.savapage.org
Ik heb deze site even bekeken. Maar ziet er erg amateuristisch uit. Ik zou dit nooit bij mijn klanten durven aan te bieden.
...
Dit topic gaat over onveiligheid die Microsoft standaard voor je aanzet, niet over of buitenkant er lekker uitziet.
...
Ps dat de printspooler op printers staat zorgt dat de printer gehacht word en het netwerk verder kan infecteren. Zeker als een printer 5+jaar is. Zelf een thinclient heeft een print spooler service nodig om de afdruk te kunnen verzenden. Ongeacht of de print spooler server op de printer of dedicated server ergens draait.
Een printer met een wachtrij (spooler) draait meestal niet onder MS Windows en dus ook niet de print spooler van dat OS.
Door Anoniem:
Niettemin, je kunt tenminste een audit (laten) uitvoeren als de software in een kritieke omgeving gebruikt gaat worden. En ook niet onbelangrijk, als een ontwikkelaar een open source componenten van een ander gebruikt, neemt de kans toe dat fouten worden opgemerkt, geanalyseerd én opgelost. Bijvoorbeeld een onnodige afhankelijkheid van een subsysteem als die MS Windows print spooler eruit halen; veel software wordt met meer afhankelijkheden dan nodig gebouwd omdat dat zo ... makkelijk is.Door Anoniem: Weer een duidelijk signaal dat het veel verstandiger is om opensource software te draaien. Voor printen https://www.savapage.org
Niet dat er dan nooit 0-days kunnen voorkomen, maar deze kunnen sneller gevonden worden en je kunt zelf de code (laten)auditen.
Dat is een veel genoemd argument, maar nog nooit iemand kunnen betrappen, die dat ook doet. Ze wijzen er alleen op, dat een ander het maar moet doen.Niet dat er dan nooit 0-days kunnen voorkomen, maar deze kunnen sneller gevonden worden en je kunt zelf de code (laten)auditen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
