door Martin Brinkmann op 03 juli 2021 in Windows – Geen reacties
Microsoft heeft onlangs een nieuwe kwetsbaarheid voor het uitvoeren van externe code in Windows bekendgemaakt die gebruikmaakt van de Windows Print Spooler. Het beveiligingslek wordt actief misbruikt en Microsoft heeft twee tijdelijke oplossingen gepubliceerd om systemen te beschermen tegen aanvallen.
De verstrekte informatie is onvoldoende, omdat Microsoft niet eens de versies van Windows bekendmaakt die door het beveiligingsprobleem worden getroffen. Zo te zien lijkt het de meeste domeincontrollers te beïnvloeden en niet de meeste thuiscomputers, omdat het op afstand geverifieerde gebruikers vereist.
0Patch, die de patch heeft geanalyseerd, suggereert dat het probleem voornamelijk de Windows Server-versies treft, maar dat Windows 10-systemen en niet-DC-servers ook kunnen worden beïnvloed als er wijzigingen zijn aangebracht in de standaardconfiguratie:
< p>UAC (User Account Control) is volledig uitgeschakeld
PointAndPrint NoWarningNoElevationOnInstall is ingeschakeld
De CVE biedt de volgende beschrijving:
Er bestaat een beveiligingslek met betrekking tot het uitvoeren van externe code wanneer de Windows Print Spooler-service op onjuiste wijze geprivilegieerde bestandsbewerkingen uitvoert. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan willekeurige code uitvoeren met SYSTEEM-rechten. Een aanvaller zou dan programma's kunnen installeren; gegevens inzien, wijzigen of verwijderen; of maak nieuwe accounts met volledige gebruikersrechten.
Bij een aanval moet een geverifieerde gebruiker zijn die RpcAddPrinterDriverEx() aanroept.
Zorg ervoor dat u de beveiligingsupdates hebt toegepast die op 8 juni 2021 zijn uitgebracht , en bekijk de secties Veelgestelde vragen en Tijdelijke oplossingen in deze CVE voor informatie over hoe u uw systeem kunt beschermen tegen dit beveiligingslek.
Microsoft biedt twee suggesties: om de Print Spooler-service uit te schakelen of om inkomend extern afdrukken uit te schakelen met behulp van Groepsbeleid. De eerste tijdelijke oplossing schakelt afdrukken, lokaal en op afstand, op het apparaat uit. Het kan een oplossing zijn op systemen waarop printfunctionaliteit niet vereist is, maar het is niet echt een optie als het printen op een apparaat wordt gedaan. U kunt de Print Spooler op aanvraag in- en uitschakelen, maar dat kan snel hinderlijk worden.
De tweede oplossing vereist toegang tot het Groepsbeleid, dat alleen beschikbaar is in Pro- en Enterprise-versies van Windows.
Hier zijn beide oplossingen:
Doe het volgende om de print spooler uit te schakelen:
- Open een verhoogde PowerShell-prompt, b.v. door Windows-X te gebruiken en Windows PowerShell (Admin) te selecteren.
- Voer Get-Service -Name Spooler uit.
- Voer Stop-Service -Name Spooler -Force uit
- Stop-Service -Name Spooler -Force
- Set-Service -Name Spooler -StartupType Disabled
Opdracht (4) stopt de Print Spooler-service, opdracht (5) schakelt het uit. Houd er rekening mee dat u niet meer kunt afdrukken wanneer u de wijzigingen aanbrengt (tenzij u de Print Spooler-service opnieuw inschakelt.
Als u inkomend extern afdrukken wilt uitschakelen, doet u het volgende:
- Open Start.
- Typ gpedit.msc.
- Laad de Groepsbeleid-editor.
- Ga naar Computerconfiguratie/Beheersjablonen/Printers.
- Dubbelklik op Sta Print Spooler toe om clientverbindingen te accepteren.
- Stel het beleid in op Uitgeschakeld.
- Selecteer ok.
0Patch heeft een micropatch ontwikkeld en gepubliceerd die het probleem met de uitvoering van externe code van de Print Spooler oplost. De patch is destijds alleen voor Windows Server gemaakt, met name Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 en Windows Server 2019.