Microsoft waarschuwt voor ‘PrintNightmare’: hackers misbruiken printerservice (update)
Update 07/07: Microsoft heeft een ‘noodpatch’ uitgerold die de problemen met Print Spooler volledig zou moeten dekken. De update is ook beschikbaar voor oudere versies van Windows. Na het uitvoeren van de laatste updates zou de PrintNightmare niet meer dan een nare droom mogen zijn.
Origineel artikel 02/07: Hoewel Microsoft de bedreiging door PrintNightmare nog niet opgemeten heeft, laat het cyberaanvallers toe vanop afstand codes uit te voeren die normaal onder machtigingen op systeemniveau vallen. Het is dus overduidelijk dat dat problematisch kan zijn.
Het probleem kwam bovendrijven in een proof of concept (POC) dat beveiligingsresearchers van Sangfor per ongeluk publiceerden. Het zou om een misverstand gaan tussen het bedrijf en Microsoft. De testcode werd snel verwijderd, maar werd intussen al opgepikt bij ontwikkelaarsplatform GitHub.
Misverstand wordt PrintNightmare
De onderzoekers van Sangfor wilden graag in detail meerdere, zogenaamde 0-day-kwetsbaarheden (waarvan de software-eigenaar niet op de hoogte is, nvdr.) in de Windows Print Spooler-service toelichten. Dat had later deze maand moeten gebeuren op de Black Hat-beveiligingsconferentie. Vanwaar dan het misverstand? De onderzoekers gingen er vanuit dat Microsoft het lek al gepatcht had, nadat de softwaregigant een aparte update had uitgebracht voor Windows Print Spooler. Nadien bleek dus dat die update en ander probleem moest verhelpen.
Microsoft laat nu weten dat het lek actief uitgebuit wordt door hackers. Via een cyberaanval kunnen ze in theorie codes laten uitvoeren om schadelijke programma’s te installeren of gegevens aan te passen. Het zou hen ook toelaten om een nieuwe account aan te maken met alle beheerrechten. De Print Spooler-service staat standaard aan, ook op client- en Windows Server-versies van het OS.
Patch op komst
Microsoft werkt volop aan een patch. Het bedrijf raadt je in de tussentijd aan om de Windows Spooler-dienst uit te schakelen op toestellen die niet hoeven te printen. Via een groepsinstelling kunnen systeemadmins de rechten tot printen aanpassen.
De Windows Print Spooler-dienst bezorgt systeembeheerders al jarenlang kopzorgen. Het meest beruchte voorbeeld is het Stuxnet-virus. Dat gebruikte meerdere 0-day-lekken (waaronder eentje bij Windows Print Spooler). Stuxnet slaagde er ruim 10 jaar geleden in om verschillende Iranese nucleaire centrifuges te vernielen.