Waarom de Windows Print Spooler nog steeds een probleem is

Windows Print Spooler stond de laatste tijd centraal in verschillende beveiligingsproblemen en ondanks de inspanningen van Microsoft verdwijnt het probleem niet.

In iets meer dan een maand tijd heeft Microsoft drie beveiligingskwetsbaarheden geverifieerd die verband houden met de Windows Print Spooler, met tot nu toe patches voor twee ervan. CVE-2021-34527 (ook bekend als "PrintNightmare"), CVE-2021-34481, en nu CVE-2021-36958 maakte het mogelijk voor kwaadwillende actoren om zichzelf volledige SYSTEEM-privileges te geven. Het uitschakelen van de Print Spooler is een optie, maar dit voorkomt dat u eventuele printers op uw computer kunt aansluiten. Het is verre van een ideale oplossing.

"Dit probleem heeft consequent gevolgen voor servers en clients van Windows, van Windows 7 tot 10, en servers 2019, 2004, 2012, 2008 en 2016", zegt Felix Maberly, cybersecurity-expert bij Tijgerbenodigdheden, in een e-mailinterview met Lifewire. "Alle patches die door Microsoft zijn gemaakt, hebben deze dreiging niet kunnen verzegelen."

Waarom de Print Spooler?

In het algemeen zorgen spoolers ervoor dat printers afdrukken: ze verzamelen alle benodigde gegevens, sturen deze naar de printerdriver, waarna de driver de printer in beweging zet. De versie van Microsoft gebruikt een Windows Graphical Device Interface (GDI) samen met de printerdriver om de printer te vertellen wat hij moet doen, in plaats van de toepassing. Dit vereenvoudigt afdruktaken voor complexere programma's en maakt het voor de applicatie overbodig om te weten hoe specifieke printermodellen moeten worden bediend.

"Hoewel de techniek die wordt gebruikt door Microsoft's Print Spooler behoorlijk geavanceerd is en gebruikers in staat stelt hun documenten in de wachtrij te zetten voor printen terwijl je andere taken op de computer uitvoert, maakt het gebruik van GDI het minder veilig", zegt Peter Baltazar, technische inhoud schrijver bij MalwareFox, in een e-mail, "zoals in tegenstelling tot de klassieke spoolers, ligt de volledige controle over de afdrukvolgorde niet bij de spooler-toepassing."

Het lijkt er dus op dat het kernprobleem met de kwetsbaarheid van Windows Print Spooler juist datgene is dat het onderscheidt van de meeste andere spoolers: de afhankelijkheid van de GDI. Door de controle te splitsen tussen Windows Print Spooler en de GDI, en de GDI alle afdrukgegevens te laten afhandelen, blijft het systeem open. Microsoft heeft tot zijn eer geprobeerd de zaken op de hoogte te houden door meerdere beveiligingsupdates uit te brengen voor getroffen systemen.

"Microsoft heeft verschillende patches uitgebracht om problemen op te lossen", zegt Maberly. "Tijdens de wachttijd blijft het echter de vraag of bedrijven en andere individuen kwetsbaar zullen blijven om Microsoft de tijd te geven om deze patches uit te brengen."

Kan Microsoft het repareren?

Het is goed dat Microsoft tijdig beveiligingsupdates uitgeeft, en het lijkt dit relatief snel te beheren naarmate nieuwe kwetsbaarheden worden erkend. Als het echter om systeembeveiliging gaat, is het misschien niet goed genoeg om enkele weken op een oplossing te wachten. Zeker als er steeds nieuwe kwetsbaarheden ontdekt worden terwijl bekende worden aangepakt.

"Microsoft moet ervoor zorgen dat we permanente bedreigingsoplossingen krijgen terwijl we wachten, in plaats van een patch te hebben die snel kwetsbaar wordt", zei Maberly.

Is het zelfs mogelijk voor Microsoft om op dit moment Windows Print Spooler te beveiligen - voor zover een computerprogramma kan worden beveiligd? Kan het metaforisch het water afsluiten en de leidingen repareren in plaats van te proberen nieuwe lekken te dichten wanneer het ze vindt? Gezien het feit hoe vaak het de afgelopen maand Print Spooler-beveiligingsupdates moest pushen, moet er iets veranderen.

"Microsoft zou [de Print Spooler] opnieuw moeten ontwerpen en [in de tussentijd] bijgewerkte patches moeten blijven leveren om het te repareren. Deze keer moeten ze rekening houden met de veiligheidsaspecten van het gebruik van de GDI", aldus Baltazar. "...De spooler moet controle hebben over alle stappen om de afdruktaak met succes af te ronden. Dit zal de reeks waarschijnlijk strak binden en de spooler minder kwetsbaar maken voor infiltraties."