{"id":27276,"date":"2021-07-09T13:52:02","date_gmt":"2021-07-09T11:52:02","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=27276"},"modified":"2022-05-05T14:00:42","modified_gmt":"2022-05-05T12:00:42","slug":"printnightmare-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/printnightmare-vulnerability\/27276\/","title":{"rendered":"Een Windows Print Spooler-kwetsbaarheid met de naam PrintNightmare"},"content":{"rendered":"<p>Eind juni waren beveiligingsonderzoekers actief bezig met het bespreken van een kwetsbaarheid in de Windows Print Spooler-service, die ze PrintNightmare noemden. De patch, uitgebracht op \u201cPatch Tuesday\u201d in juni, werd geacht de kwetsbaarheid te verhelpen, en dat deed hij ook, maar er bleek vervolgens sprake te zijn van twee kwetsbaarheden. De patch sloot de kwetsbaarheid <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-1675\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-1675<\/a> maar niet <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-34527\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-34527<\/a>. Op niet-gepatchte Windows-computers of -servers kunnen kwaadwillenden de kwetsbaarheden benutten om controle te krijgen, omdat de Windows Print Spooler standaard actief is op alle Windows-systemen.<\/p>\n<p>Microsoft gebruikt de naam PrintNightmare voor CVE-2021-34527 maar niet voor CVE-2021-1675; maar velen gebruiken hem echter wel voor beide kwetsbaarheden.<\/p>\n<p>Onze experts hebben beide kwetsbaarheden in detail bestudeerd en ervoor gezorgd dat de <a href=\"https:\/\/www.kaspersky.nl\/small-to-medium-business-security?icid=nl_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky-beveiligingsoplossingen<\/a> met hun <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/wiki-section\/products\/exploit-prevention\" target=\"_blank\" rel=\"noopener nofollow\">exploit-preventietechnologie<\/a> en <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/wiki-section\/products\/behavior-based-protection\" target=\"_blank\" rel=\"noopener nofollow\">gedragsgebaseerde bescherming<\/a> pogingen om deze te benutten voorkomt.<\/p>\n<h2>Waarom PrintNightmare gevaarlijk is<\/h2>\n<p>PrintNightmare wordt om twee redenen als extreem gevaarlijk beschouwd. Ten eerste maakt het feit dat Windows Print Spooler standaard is ingeschakeld op alle Windows-gebaseerde systemen, inclusief domeincontrollers en computers met systeembeheerprivileges, al deze computers kwetsbaar.<\/p>\n<p>Ten tweede leidde een misverstand tussen teams van onderzoekers (en wellicht een simpele fout) ertoe dat er een <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/poc-proof-of-concept\/\" target=\"_blank\" rel=\"noopener\">proof-of-concept<\/a> exploit voor PrintNightmare <a href=\"https:\/\/therecord.media\/poc-released-for-dangerous-windows-printnightmare-bug\/\" target=\"_blank\" rel=\"noopener nofollow\">online werd gepubliceerd<\/a>. De betrokken onderzoekers waren er vrij zeker van dat Microsofts patch van juni het probleem al had opgelost, dus deelden ze hun werk met de community van beveiligingsexperts. De exploit was echter nog altijd gevaarlijk. De PoC werd snel verwijderd, maar niet voordat veel partijen hem konden kopi\u00ebren. Daarom voorspellen Kaspersky-experts een toename in het aantal pogingen om PrintNightmare te benutten.<\/p>\n<h2>De kwetsbaarheden en het gebruik ervan<\/h2>\n<p><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2021-1675\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-1675<\/a> is een <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/privilege-escalation\/\" target=\"_blank\" rel=\"noopener\">toegangsrechten-verhogende<\/a> kwetsbaarheid. Hiermee kan een aanvaller met lage toegangsrechten een kwaadaardig DLL-bestand cre\u00ebren en dat gebruiken om een exploit uit te voeren en hogere toegangsrechten te krijgen. Dat is echter alleen mogelijk als de aanvaller al directe toegang heeft tot de kwetsbare computer in kwestie. Microsoft is van mening dat deze kwetsbaarheid een relatief laag risico vertegenwoordigt.<\/p>\n<p><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2021-34527\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-34527<\/a> is een stuk gevaarlijker: Hoewel hij vergelijkbaar is, is het een <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/remote-code-execution-rce\/\" target=\"_blank\" rel=\"noopener\">remote code execution<\/a> (RCE)-kwetsbaarheid, wat betekent dat het op afstand injectie van DDLs toestaat. Microsoft heeft al exploits van deze kwetsbaarheid in het wild gezien, en <a href=\"https:\/\/securelist.com\/quick-look-at-cve-2021-1675-cve-2021-34527-aka-printnightmare\/103123\/\" target=\"_blank\" rel=\"noopener\">Securelist biedt<\/a> een gedetailleerdere technische beschrijving van beide kwetsbaarheden en hun exploitatietechnieken.<\/p>\n<p>Omdat boosdoeners PrintNightmare kunnen gebruiken om toegang te krijgen tot gegevens in de bedrijfsinfrastructuur, kunnen ze de exploit ook gebruiken voor ransomware-aanvallen.<\/p>\n<h2>Hoe u uw infrastructuur tegen PrintNightmare beschermt<\/h2>\n<p>De eerste stap om u tegen PrintNightmare-aanvallen te beschermen is beide patches de installeren \u2014 <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2021-1675\" target=\"_blank\" rel=\"noopener nofollow\">juni<\/a> en <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-34527\" target=\"_blank\" rel=\"noopener nofollow\">juli<\/a> \u2014 van Microsoft. De laatstgenoemde pagina biedt ook enkele workarounds van Microsoft voor het geval u geen gebruik kunt maken van de patches \u2014 en voor \u00e9\u00e9n ervan hoeft u Windows Print Spooler niet eens uit te schakelen.<\/p>\n<p>Dat gezegd hebbende, raden we u ten zeerste aan <a href=\"https:\/\/docs.microsoft.com\/en-us\/defender-for-identity\/cas-isp-print-spooler\" target=\"_blank\" rel=\"noopener nofollow\">Windows Print Spooler uit te schakelen<\/a> op computers die het niet nodig hebben. Met name domeincontrollerservers zullen deze functie hoogstwaarschijnlijk niet nodig hebben om af te drukken.<\/p>\n<p>Daarnaast hebben alle servers en computers <a href=\"https:\/\/www.kaspersky.nl\/small-to-medium-business-security?icid=nl_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">betrouwbare endpoint-beveiligingsoplossingen<\/a> nodig, die exploitatie van pogingen van zowel bekende als vooralsnog onbekende kwetsbaarheden voorkomen, waaronder dus ook PrintNightmare.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Update onmiddellijk alle Windows-systemen om de kwetsbaarheden CVE-2021-1675 en CVE-2021-34527 in de Windows Print Spooler-service te patchen.<\/p>\n","protected":false},"author":2706,"featured_media":27277,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[108,252,253],"tags":[334,490,303,1074],"class_list":{"0":"post-27276","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-kwetsbaarheden","11":"tag-updates","12":"tag-windows","13":"tag-zeroday"},"hreflang":[{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/printnightmare-vulnerability\/27276\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/printnightmare-vulnerability\/23044\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/printnightmare-vulnerability\/18526\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/printnightmare-vulnerability\/9266\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/printnightmare-vulnerability\/24996\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/printnightmare-vulnerability\/23004\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/printnightmare-vulnerability\/22297\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/printnightmare-vulnerability\/25616\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/printnightmare-vulnerability\/25086\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/printnightmare-vulnerability\/31025\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/printnightmare-vulnerability\/9814\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/printnightmare-vulnerability\/40520\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/printnightmare-vulnerability\/17307\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/printnightmare-vulnerability\/17782\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/printnightmare-vulnerability\/15021\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/printnightmare-vulnerability\/27047\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/printnightmare-vulnerability\/31190\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/printnightmare-vulnerability\/24088\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/printnightmare-vulnerability\/29420\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/printnightmare-vulnerability\/29212\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.nl\/blog\/tag\/kwetsbaarheden\/","name":"kwetsbaarheden"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/27276","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/comments?post=27276"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/27276\/revisions"}],"predecessor-version":[{"id":27279,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/27276\/revisions\/27279"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media\/27277"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media?parent=27276"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/categories?post=27276"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/tags?post=27276"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}