Een Windows Print Spooler-kwetsbaarheid met de naam PrintNightmare

Update onmiddellijk alle Windows-systemen om de kwetsbaarheden CVE-2021-1675 en CVE-2021-34527 in de Windows Print Spooler-service te patchen.

Eind juni waren beveiligingsonderzoekers actief bezig met het bespreken van een kwetsbaarheid in de Windows Print Spooler-service, die ze PrintNightmare noemden. De patch, uitgebracht op “Patch Tuesday” in juni, werd geacht de kwetsbaarheid te verhelpen, en dat deed hij ook, maar er bleek vervolgens sprake te zijn van twee kwetsbaarheden. De patch sloot de kwetsbaarheid CVE-2021-1675 maar niet CVE-2021-34527. Op niet-gepatchte Windows-computers of -servers kunnen kwaadwillenden de kwetsbaarheden benutten om controle te krijgen, omdat de Windows Print Spooler standaard actief is op alle Windows-systemen.

Microsoft gebruikt de naam PrintNightmare voor CVE-2021-34527 maar niet voor CVE-2021-1675; maar velen gebruiken hem echter wel voor beide kwetsbaarheden.

Onze experts hebben beide kwetsbaarheden in detail bestudeerd en ervoor gezorgd dat de Kaspersky-beveiligingsoplossingen met hun exploit-preventietechnologie en gedragsgebaseerde bescherming pogingen om deze te benutten voorkomt.

Waarom PrintNightmare gevaarlijk is

PrintNightmare wordt om twee redenen als extreem gevaarlijk beschouwd. Ten eerste maakt het feit dat Windows Print Spooler standaard is ingeschakeld op alle Windows-gebaseerde systemen, inclusief domeincontrollers en computers met systeembeheerprivileges, al deze computers kwetsbaar.

Ten tweede leidde een misverstand tussen teams van onderzoekers (en wellicht een simpele fout) ertoe dat er een proof-of-concept exploit voor PrintNightmare online werd gepubliceerd. De betrokken onderzoekers waren er vrij zeker van dat Microsofts patch van juni het probleem al had opgelost, dus deelden ze hun werk met de community van beveiligingsexperts. De exploit was echter nog altijd gevaarlijk. De PoC werd snel verwijderd, maar niet voordat veel partijen hem konden kopiëren. Daarom voorspellen Kaspersky-experts een toename in het aantal pogingen om PrintNightmare te benutten.

De kwetsbaarheden en het gebruik ervan

CVE-2021-1675 is een toegangsrechten-verhogende kwetsbaarheid. Hiermee kan een aanvaller met lage toegangsrechten een kwaadaardig DLL-bestand creëren en dat gebruiken om een exploit uit te voeren en hogere toegangsrechten te krijgen. Dat is echter alleen mogelijk als de aanvaller al directe toegang heeft tot de kwetsbare computer in kwestie. Microsoft is van mening dat deze kwetsbaarheid een relatief laag risico vertegenwoordigt.

CVE-2021-34527 is een stuk gevaarlijker: Hoewel hij vergelijkbaar is, is het een remote code execution (RCE)-kwetsbaarheid, wat betekent dat het op afstand injectie van DDLs toestaat. Microsoft heeft al exploits van deze kwetsbaarheid in het wild gezien, en Securelist biedt een gedetailleerdere technische beschrijving van beide kwetsbaarheden en hun exploitatietechnieken.

Omdat boosdoeners PrintNightmare kunnen gebruiken om toegang te krijgen tot gegevens in de bedrijfsinfrastructuur, kunnen ze de exploit ook gebruiken voor ransomware-aanvallen.

Hoe u uw infrastructuur tegen PrintNightmare beschermt

De eerste stap om u tegen PrintNightmare-aanvallen te beschermen is beide patches de installeren — juni en juli — van Microsoft. De laatstgenoemde pagina biedt ook enkele workarounds van Microsoft voor het geval u geen gebruik kunt maken van de patches — en voor één ervan hoeft u Windows Print Spooler niet eens uit te schakelen.

Dat gezegd hebbende, raden we u ten zeerste aan Windows Print Spooler uit te schakelen op computers die het niet nodig hebben. Met name domeincontrollerservers zullen deze functie hoogstwaarschijnlijk niet nodig hebben om af te drukken.

Daarnaast hebben alle servers en computers betrouwbare endpoint-beveiligingsoplossingen nodig, die exploitatie van pogingen van zowel bekende als vooralsnog onbekende kwetsbaarheden voorkomen, waaronder dus ook PrintNightmare.

Tips