image

Microsoft: zerodaylek in Windows Print Spooler jarenlang gebruikt bij aanvallen

dinsdag 23 april 2024, 09:17 door Redactie, 26 reacties

Een zerodaylek in de Windows Print Spooler-service, dat door de Amerikaanse geheime dienst NSA aan Microsoft werd gerapporteerd, is jarenlang gebruikt bij aanvallen, aldus het techbedrijf. Via de kwetsbaarheid kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen tot het SYSTEM-niveau, waarmee volledige controle over het systeem wordt verkregen.

Microsoft kwam op 11 oktober 2022 met een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2022-38028. Het techbedrijf bedankte destijds de NSA voor het rapporteren van het probleem. In een nieuwe analyse meldt Microsoft dat een aan de Russische geheime dienst gelieerde groep die wordt aangeduid als APT28, Fancy Bear en Forest Blizzard, sinds juni 2020 misbruik van het beveiligingslek maakt en dit mogelijk al sinds april 2019 doet.

Zodra de aanvallers toegang tot een systeem hebben misbruiken ze de kwetsbaarheid om hun rechten te verhogen en vervolgens inloggegevens te stelen, aldus Microsoft. Het techbedrijf roept organisaties op om de kwetsbaarheid voor CVE-2022-38028 zo snel mogelijk te installeren als dat nog niet is gedaan. Verder adviseert Microsoft het uitschakelen van de Windows Print Spooler-service op domaincontrollers, omdat deze service niet vereist is voor het functioneren van de controller.

Reacties (26)
23-04-2024, 10:18 door Anoniem
Verder adviseert Microsoft het uitschakelen van de Windows Print Spooler-service op domaincontrollers, omdat deze service niet vereist is voor het functioneren van de controller

Kleine klantjes hebben niet altijd de mogelijkheid om meerdere servers neer te zetten, waar toch een on-premise oplossing gewenst is voor bepaalde software pakketen.

Pas geleden een Win2022 server neer gezet, met een simpele Windows Server Backup,
die werkte opeens niet meer, het 'server manager' dashboard wou niet meer verversen met foutmeldingen.
de oplossing? het herstarten van de print spooler...

Dus nee hij zal niet nodig zijn voor de AD functionaliteit, echter andere dingen gaan ook 'stuk' als de print spooler niet draait..
23-04-2024, 10:20 door Anoniem
En daarom behoort een computer alle poorten dicht te hebben tenzij anders aangegeven...
Ik hoef geen SMB tenzij ik mijn netwerkfolder open, ik hoef geen printer tenzij ik naar printers zoek, etc.

De enige binnenkomende pakketten die ik by default wil toestaan zijn ICMP. (voor ping etc)
23-04-2024, 10:40 door Anoniem
Het feit alleen al dat men een windows printspooler aanbiedt op een domain controller is zo van de zotte en er dan ook nog gebruik van maakt bij zo'n beetje elke gemeente. Alleen een Failliet systeem is elke maand zeroday lek.
Elke security specialist (behalve de windows georiënteerde dan) weet dat je daar een aparte VM voor moet gebruiken.
23-04-2024, 11:40 door Anoniem
Ja de NSA heeft nu een ander 'lek gevonden', en het is natuurlijk wel zo dat ze het alleenrecht hierop willen hebben.
23-04-2024, 12:03 door JustMe2020
Door Anoniem: En daarom behoort een computer alle poorten dicht te hebben tenzij anders aangegeven...
Ik hoef geen SMB tenzij ik mijn netwerkfolder open, ik hoef geen printer tenzij ik naar printers zoek, etc.

De enige binnenkomende pakketten die ik by default wil toestaan zijn ICMP. (voor ping etc)
Leuk voor je thuis, maar in een bedrijf totaal nutteloos als oplossing.

Port beheer is trouwens vrij legacy als je er naar kijkt. Je wilt eigenlijk applicatie + port beheren op je firewall.
23-04-2024, 12:23 door _R0N_
Een beetje bedrijf heeft een firewall tussen het LAN en WAN.

Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
23-04-2024, 13:29 door Anoniem
Door _R0N_: Een beetje bedrijf heeft een firewall tussen het LAN en WAN.

Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.

Meeste bedrijven waar ik kom hebben nog een printer. Dan is een print spooler wel nodig zodra er meer dan 1 printer is of meerdere personen tegelijk willen printen.
23-04-2024, 14:49 door Anoniem
Door Anoniem:
Meeste bedrijven waar ik kom hebben nog een printer. Dan is een print spooler wel nodig zodra er meer dan 1 printer is of meerdere personen tegelijk willen printen.

Daar hebben ze een printer server voor uitgevonden.
DC's zijn alleen voor DC's
23-04-2024, 14:58 door Anoniem
Door _R0N_: Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.

Al jaren algemeen security advies en gezond verstand om alle services die je niet gebruikt uit te zetten.
23-04-2024, 15:01 door Anoniem
Weer een duidelijk signaal dat het veel verstandiger is om opensource software te draaien. Voor printen https://www.savapage.org

Niet dat er dan nooit 0-days kunnen voorkomen, maar deze kunnen sneller gevonden worden en je kunt zelf de code (laten)auditen.
23-04-2024, 15:06 door Anoniem
Door Anoniem:
Verder adviseert Microsoft het uitschakelen van de Windows Print Spooler-service op domaincontrollers, omdat deze service niet vereist is voor het functioneren van de controller

Kleine klantjes hebben niet altijd de mogelijkheid om meerdere servers neer te zetten, waar toch een on-premise oplossing gewenst is voor bepaalde software pakketen.

Pas geleden een Win2022 server neer gezet, met een simpele Windows Server Backup,
die werkte opeens niet meer, het 'server manager' dashboard wou niet meer verversen met foutmeldingen.
de oplossing? het herstarten van de print spooler...

Dus nee hij zal niet nodig zijn voor de AD functionaliteit, echter andere dingen gaan ook 'stuk' als de print spooler niet draait..

Waarom zet je dan ook servers neer met dergelijk spaghetti code dat problemen moet oplossen door schijnbaar ongerelateerde processen te herstarten?

Een betere oplossing is dan een Linux machine met wat VM's en/of containers waarin je functies netjes van elkaar scheid.
23-04-2024, 15:16 door Anoniem
Door Anoniem:
Door _R0N_: Een beetje bedrijf heeft een firewall tussen het LAN en WAN.

Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.

Meeste bedrijven waar ik kom hebben nog een printer. Dan is een print spooler wel nodig zodra er meer dan 1 printer is of meerdere personen tegelijk willen printen.

Ja, maar niet op de domain controller.

Een beetje serieuze netwerkprinter is ook gewoon prima bruikbaar zonder dat er een losse printserver nodig is.
23-04-2024, 16:09 door _R0N_
Door Anoniem:
Door _R0N_: Een beetje bedrijf heeft een firewall tussen het LAN en WAN.

Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.

Meeste bedrijven waar ik kom hebben nog een printer. Dan is een print spooler wel nodig zodra er meer dan 1 printer is of meerdere personen tegelijk willen printen.

De meeste printers hebben tegenwoordig een eigen printspooler die voldoende geheugen heeft om direct op af te leveren over IP.
Daarnaast hoeft de print spooler niet aanwezig te zijn op een Domain Controller en hoeft al helemaal niet benaderbaar te zijn voor de boze buitenwereld.
23-04-2024, 16:35 door Anoniem
Door Anoniem:
Door Anoniem:
Verder adviseert Microsoft het uitschakelen van de Windows Print Spooler-service op domaincontrollers, omdat deze service niet vereist is voor het functioneren van de controller

Kleine klantjes hebben niet altijd de mogelijkheid om meerdere servers neer te zetten, waar toch een on-premise oplossing gewenst is voor bepaalde software pakketen.

Pas geleden een Win2022 server neer gezet, met een simpele Windows Server Backup,
die werkte opeens niet meer, het 'server manager' dashboard wou niet meer verversen met foutmeldingen.
de oplossing? het herstarten van de print spooler...

Dus nee hij zal niet nodig zijn voor de AD functionaliteit, echter andere dingen gaan ook 'stuk' als de print spooler niet draait..

Waarom zet je dan ook servers neer met dergelijk spaghetti code dat problemen moet oplossen door schijnbaar ongerelateerde processen te herstarten?

Een betere oplossing is dan een Linux machine met wat VM's en/of containers waarin je functies netjes van elkaar scheid.
Dat komt omdat die gasten overal dure datacenter licenties voor moeten betalen en daarom proppen ze het op 1 server en daarom functioneert het al jaren voor geen meter bij de overheid https://www.agconnect.nl/maatschappij/overheid/manifest-tegen-ict-onkunde-overheid-aangeboden-aan-partijen[/ur]
23-04-2024, 16:41 door Anoniem
Door _R0N_: Een beetje bedrijf heeft een firewall tussen het LAN en WAN.

Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
Dat is niet waar want het staat al jaren default aan ook op de domain controler!! https://www.digitaltrustcenter.nl/nieuws/kritieke-kwetsbaarheid-in-windows-printnightmare
23-04-2024, 17:54 door Anoniem
Door Anoniem: Weer een duidelijk signaal dat het veel verstandiger is om opensource software te draaien. Voor printen https://www.savapage.org
Ik heb deze site even bekeken. Maar ziet er erg amateuristisch uit.
Ik zou dit nooit bij mijn klanten durven aan te bieden.


Niet dat er dan nooit 0-days kunnen voorkomen, maar deze kunnen sneller gevonden worden en je kunt zelf de code (laten)auditen.
kuch kuch xz

Maar klinkt altijd leuk, maar niemand doet dit eigenlijk.
23-04-2024, 18:18 door Anoniem
Door Anoniem:
Door Anoniem:
Door _R0N_: Een beetje bedrijf heeft een firewall tussen het LAN en WAN.

Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.

Meeste bedrijven waar ik kom hebben nog een printer. Dan is een print spooler wel nodig zodra er meer dan 1 printer is of meerdere personen tegelijk willen printen.

Ja, maar niet op de domain controller.

Een beetje serieuze netwerkprinter is ook gewoon prima bruikbaar zonder dat er een losse printserver nodig is.
in het artiekel staat dat het icm een dc is. Echter maakt het voor een gevoirderde hacker niet uit gezien er een authenticatie plaats vind. Deze is met redirect te gebruiken. Bouncen op een router maakt het interesanter met vlans. De print server is degene die de printspooler heeft en aanstuurt. Je dient de configuratie wel te onderzoeken.

Ps dat de printspooler op printers staat zorgt dat de printer gehacht word en het netwerk verder kan infecteren. Zeker als een printer 5+jaar is. Zelf een thinclient heeft een print spooler service nodig om de afdruk te kunnen verzenden. Ongeacht of de print spooler server op de printer of dedicated server ergens draait.
23-04-2024, 18:28 door Anoniem
Door Anoniem: Weer een duidelijk signaal dat het veel verstandiger is om opensource software te draaien. Voor printen https://www.savapage.org

Niet dat er dan nooit 0-days kunnen voorkomen, maar deze kunnen sneller gevonden worden en je kunt zelf de code (laten)auditen.
Dat is een veel genoemd argument, maar nog nooit iemand kunnen betrappen, die dat ook doet. Ze wijzen er alleen op, dat een ander het maar moet doen.
23-04-2024, 18:36 door Anoniem
Door Anoniem:
Door _R0N_: Een beetje bedrijf heeft een firewall tussen het LAN en WAN.

Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.
Dat is niet waar want het staat al jaren default aan ook op de domain controler!! https://www.digitaltrustcenter.nl/nieuws/kritieke-kwetsbaarheid-in-windows-printnightmare
Staat mischien wel default aan maar certificering en techsite van Microsoft gaven aan om als deze niet word gebruikt uit te zetten. ( Je moest wel zoeken op de techsite )
23-04-2024, 22:05 door Anoniem
printspooler is toch al 20 jaar een backdoor?
24-04-2024, 08:01 door Anoniem
Door Anoniem:
Door _R0N_: Al jaren geleden was het advies van Microsoft om de Print spooler uit te schakelen als je die niet nodig hebt.

Al jaren algemeen security advies en gezond verstand om alle services die je niet gebruikt uit te zetten.

by default alles dicht en alleen open wat open moet zetten. maar dat is vaak te ingewikkeld voor MS admins => alles open en god zij met u. zo komt het ook uit de doos bij MS blijkt keer op keer.
24-04-2024, 08:02 door Anoniem
Door Anoniem: printspooler is toch al 20 jaar een backdoor?

en nu nog STEEDS dus...
24-04-2024, 13:54 door Anoniem
Door Anoniem:
Door Anoniem: Weer een duidelijk signaal dat het veel verstandiger is om opensource software te draaien. Voor printen https://www.savapage.org

Niet dat er dan nooit 0-days kunnen voorkomen, maar deze kunnen sneller gevonden worden en je kunt zelf de code (laten)auditen.
Dat is een veel genoemd argument, maar nog nooit iemand kunnen betrappen, die dat ook doet. Ze wijzen er alleen op, dat een ander het maar moet doen.
Logisch dat jij nog niemand hebt kunnen betrappen want jij werkt niet in die community en begrijpt dus de nieuwe manier van werken ( Cathedral vs The Bazaar) niet!
Als er niet naar gekeken zou worden zou Linux windows op ransomware gebied al lang voorbij zijn gestevend.
24-04-2024, 15:24 door Joep Lunaar
Door Anoniem:
Door Anoniem: Weer een duidelijk signaal dat het veel verstandiger is om opensource software te draaien. Voor printen https://www.savapage.org
Ik heb deze site even bekeken. Maar ziet er erg amateuristisch uit.
Ik zou dit nooit bij mijn klanten durven aan te bieden.
...
Wat bedoel je ? Mis je Platinum certified bla bla van MS ?
Dit topic gaat over onveiligheid die Microsoft standaard voor je aanzet, niet over of buitenkant er lekker uitziet.
24-04-2024, 15:30 door Joep Lunaar - Bijgewerkt: 24-04-2024, 15:41

...
Ps dat de printspooler op printers staat zorgt dat de printer gehacht word en het netwerk verder kan infecteren. Zeker als een printer 5+jaar is. Zelf een thinclient heeft een print spooler service nodig om de afdruk te kunnen verzenden. Ongeacht of de print spooler server op de printer of dedicated server ergens draait.

Een printer met een wachtrij (spooler) draait meestal niet onder MS Windows en dus ook niet de print spooler van dat OS.
24-04-2024, 15:38 door Joep Lunaar - Bijgewerkt: 24-04-2024, 15:43
Door Anoniem:
Door Anoniem: Weer een duidelijk signaal dat het veel verstandiger is om opensource software te draaien. Voor printen https://www.savapage.org

Niet dat er dan nooit 0-days kunnen voorkomen, maar deze kunnen sneller gevonden worden en je kunt zelf de code (laten)auditen.
Dat is een veel genoemd argument, maar nog nooit iemand kunnen betrappen, die dat ook doet. Ze wijzen er alleen op, dat een ander het maar moet doen.
Niettemin, je kunt tenminste een audit (laten) uitvoeren als de software in een kritieke omgeving gebruikt gaat worden. En ook niet onbelangrijk, als een ontwikkelaar een open source componenten van een ander gebruikt, neemt de kans toe dat fouten worden opgemerkt, geanalyseerd én opgelost. Bijvoorbeeld een onnodige afhankelijkheid van een subsysteem als die MS Windows print spooler eruit halen; veel software wordt met meer afhankelijkheden dan nodig gebouwd omdat dat zo ... makkelijk is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.