Microsoft geeft nieuwe Print Spool LPE-aanval toe (CVE-2021-34481)

Een beetje zoals een horrorfilm, zodra Microsoft denkt dat hun PrintNightmare voorbij is, duikt er een andere aanvalsvector op.

MSRC heeft een advies (CVE-2021-34481) gepost waarin beheerders worden geïnformeerd dat, ondanks dat ze recentelijk hun pc's hebben gepatcht tegen PrintNightmare, er een nieuwe aanval is ontdekt waardoor hun pc kwetsbaar is voor compromittering.

Microsoft merkt op dat er een beveiligingslek met betrekking tot misbruik van bevoegdheden bestaat wanneer de Windows Print Spooler-service op onjuiste wijze bewerkingen met bevoorrechte bestanden uitvoert. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan willekeurige code uitvoeren met SYSTEEM-rechten. Een aanvaller zou dan programma's kunnen installeren; gegevens inzien, wijzigen of verwijderen; of maak nieuwe accounts aan met volledige gebruikersrechten.

In tegenstelling tot de originele PrintNightmare zou deze aanval echter geen externe code-exploit zijn, en de aanvaller moet de mogelijkheid hebben om code uit te voeren op een slachtoffersysteem om dit beveiligingslek te misbruiken. Het kan natuurlijk worden geketend met een andere kwetsbaarheid en laat die exploit zijn privileges verhogen. Microsoft merkt op dat er geen tussenkomst van de gebruiker nodig is om uit te voeren.

Microsoft heeft nog geen patch voor de nieuwe bug uitgebracht, maar merkt op dat een tijdelijke oplossing het stoppen en uitschakelen van de Print Spooler-service effectief is.

Lees meer over de aanval bij Microsoft hier.