Ondanks tweede patch is PrintNightmare weer terug

Home » #Herposten

Pictogram voor leestijd 2 minuut. lezen

Kalender pictogram Bijgewerkt op

by Surur Davids 

bijgewerkt

deel dit artikel

Lezers helpen MSpoweruser ondersteunen. We kunnen een commissie krijgen als u via onze links koopt. Tooltip-pictogram

Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer

Microsoft kampt al bijna een maand met een kwetsbaarheid waarbij hackers pc's kunnen overnemen door gecompromitteerde printerstuurprogramma's te installeren, maar het lijkt erop dat het probleem complexer en dieper is dan zelfs Microsoft had verwacht.

ondankseen recente patch die de standaardinstellingen op Windows 10 veranderde en ervoor zorgde dat standaardgebruikers geen printerstuurprogramma's konden installeren, hebben hackers een bypass gevonden die nog steeds een escalatie van bevoegdheden voor standaardgebruikers mogelijk maakte.

Benjamin Delpy heeft aangetoond dat hackers snel SYSTEEM-rechten kunnen verkrijgen door simpelweg verbinding te maken met een externe afdrukserver, door de CopyFile-registerrichtlijn te gebruiken om een ​​DLL-bestand te kopiëren dat een opdrachtprompt naar de client opent, samen met een printerstuurprogramma wanneer u verbinding maakt met een printer .

Microsoft heeft het probleem erkend in adviserend CVE-2021-36958, zeggende:

Er bestaat een beveiligingslek met betrekking tot het uitvoeren van externe code wanneer de Windows Print Spooler-service op onjuiste wijze geprivilegieerde bestandsbewerkingen uitvoert. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan willekeurige code uitvoeren met SYSTEEM-rechten. Een aanvaller zou dan programma's kunnen installeren; gegevens inzien, wijzigen of verwijderen; of maak nieuwe accounts aan met volledige gebruikersrechten.

De tijdelijke oplossing voor dit beveiligingslek is het stoppen en uitschakelen van de Print Spooler-service.

Hoewel Microsoft het een kwetsbaarheid voor het uitvoeren van externe code noemt, lijkt de exploit een Local Privilege Escalation-bug te zijn, die netwerkbeheerders op zijn minst enige geruststelling zou moeten bieden.

Microsoft raadt beheerders nogmaals aan om Print Spooler uit te schakelen en daarmee afdrukken vanuit Windows uit te schakelen. Een andere oplossing, niet aanbevolen door Microsoft, is om de printers waarmee u verbinding kunt maken te beperken tot een specifieke lijst door het groepsbeleid 'Package Point and print – Approved servers' te gebruiken. Lees hoe je dat doet bij BleepingComputer hier.

Meer over de onderwerpen: CVE-2021-36958, exploiteren, AfdrukkenNachtmerrie, veiligheid, windows server

Surur Davids

Surur Davids Schild

Smartphone-expert

Surur Davids is de oprichter van WMPoweruser, wat later MSPoweruser.com werd. Hij is een smartphone-expert met meer dan tien jaar ervaring.