Microsoft bevestigt opnieuw een kwetsbaarheid in de printspooler

December 02, 2021
InNieuws Internet Beveiliging

Microsoft heeft nog een andere zero-day bug-kwetsbaarheid bevestigd die verband houdt met het hulpprogramma Print Spooler, ondanks onlangs uitgebrachte spooler-beveiligingsoplossingen.

Niet te verwarren met de initiaal PrintNightmare-kwetsbaarheid, of de andere recente Print Spooler-exploit, zou deze nieuwe bug een lokale aanvaller in staat stellen systeemrechten te verkrijgen. Microsoft is nog steeds bezig met het onderzoeken van de bug, waarnaar wordt verwezen als CVE-2021-36958, dus het heeft nog niet kunnen verifiëren om welke Windows-versies het gaat. Het heeft ook niet aangekondigd wanneer het een beveiligingsupdate zal uitbrengen, maar stelt dat oplossingen doorgaans maandelijks worden uitgebracht.

Vermoeide kantoormedewerker — Geber86 / Getty Images

Volgens BleepingComputer, is de reden dat de recente beveiligingsupdates van Microsoft niet helpen, vanwege een onoplettendheid met betrekking tot beheerdersrechten. De exploit omvat het kopiëren van een bestand dat een opdrachtprompt en een printerstuurprogramma opent, en beheerdersrechten zijn nodig om een nieuw printerstuurprogramma te installeren.

De nieuwe updates vereisen echter alleen beheerdersrechten voor de installatie van stuurprogramma's - als het stuurprogramma al is geïnstalleerd, is een dergelijke vereiste niet. Als het stuurprogramma al op een clientcomputer is geïnstalleerd, hoeft een aanvaller alleen maar verbinding te maken met een externe printer om volledige systeemtoegang te krijgen.

Gestresste kantoormedewerker — Tatomm / Getty Images

Net als bij eerdere exploits van Print Spooler, raadt Microsoft aan om de service volledig uit te schakelen (als deze "geschikt" is voor uw omgeving). Hoewel dit het beveiligingslek zou sluiten, zou het ook de mogelijkheid om op afstand af te drukken uitschakelen en lokaal.

In plaats van te voorkomen dat u volledig kunt afdrukken, stelt BleepingComputer voor om uw systeem alleen printers te laten installeren van servers die u persoonlijk autoriseert. Het merkt echter op dat deze methode niet perfect is, omdat aanvallers de kwaadaardige stuurprogramma's nog steeds op een geautoriseerde server kunnen installeren.