Microsoft's Windows 10 Print Spooler-beveiliging wordt een probleem voor het bedrijf en zijn klanten.
Branded bugs zoals Heartbleed uit 2014 zijn een beetje passé, maar de Windows 10 PrintNightmare bugs lijken een geschikte keuze te zijn: Microsoft bracht fixes uit in juli en augustus en, net na de wijziging van 10 augustus op Patch Tuesday in de Print Spooler-service, heeft het nog een andere bug in de print spooler onthuld.
Dit betreft een kwetsbaarheid voor het uitvoeren van externe code in Windows Print Spooler, gelabeld als CVE-2021-36958.
“Er bestaat een beveiligingslek met betrekking tot het uitvoeren van externe code wanneer de Windows Print Spooler-service op onjuiste wijze bewerkingen met geprivilegieerde bestanden uitvoert. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan willekeurige code uitvoeren met SYSTEEM-rechten. Een aanvaller kan dan programma's installeren, gegevens bekijken, wijzigen of verwijderen; of maak nieuwe accounts met volledige gebruikersrechten. De tijdelijke oplossing voor dit beveiligingslek is het stoppen en uitschakelen van de Print Spooler-service”, aldus Microsoft's advies.
De eerder onthulde bug CVE-2021-34481 in de Windows Print Spooler-service maakt het mogelijk een lokale aanvaller om privileges te verhogen naar het niveau van 'systeem', waardoor de aanvaller malware kan installeren en nieuwe accounts kan maken op Windows 10-machines.
Om potentiële bedreigingen te verminderen, heeft Microsoft deze week een update uitgebracht die het standaardgedrag voor Point-and-Print-functies in Windows wijzigt, waardoor een gemiddelde gebruiker geen printers kan toevoegen of bijwerken. Na de installatie heeft Windows 10 beheerdersrechten nodig om deze wijzigingen in het stuurprogramma te installeren.
Hoewel het extra werk voor beheerders zal veroorzaken, zegt Microsoft dat het “sterk” gelooft dat het beveiligingsrisico deze wijziging rechtvaardigt.
< p>Beheerders hebben een optie om de beperking van Microsoft uit te schakelen, maar benadrukten dat het “uw omgeving zal blootstellen aan de algemeen bekende kwetsbaarheden in de Windows Print Spooler-service.”
De problemen met de Print Spooler-service zijn in de loop van de zomer geëscaleerd doordat onderzoekers verschillende wegen hebben gevonden om de reeks fouten aan te pakken.
CVE-2021-36958 en een andere PrintNightmare-bug, bijgehouden als CVE-2021-34483, werden aan Microsoft gemeld door een Accenture-beveiligingsonderzoeker, Victor Mata, die zegt de problemen in december te hebben gemeld. Andere gerelateerde Print Spooler-bugs zijn CVE-2021-1675 en CVE-2021-34527.
Will Dormann, een kwetsbaarheidsanalist bij de CERT/CC, wees op de ogenschijnlijk onvolledige oplossingen in de Patch Tuesday-updates van augustus 2021.
Zoals hij opmerkt, heeft beveiligingsonderzoeker Benjamin Delpy in juli een proof of concept uitgebracht voor een van de PrintNightmare-bugs. Dormann liet Microsoft weten dat Delpy's PoC nog steeds werkte op 11 augustus, een dag na Patch Tuesday van augustus. De proof of concept van Delpy is volgens Dormann de aanleiding geweest voor de laatste onthulling van Microsoft over CVE-2021-36958.
“Microsoft heeft *iets* gerepareerd met betrekking tot uw aanval in hun update voor CVE-2021-36936, die niets beschrijft over wat het herstelt. Mijn PoC voor VU#131152 vraagt nu bijvoorbeeld om beheerdersbevoegdheden. De PoC van @gentilkiwi werkt prima. Tijd voor MS om een nieuwe CVE uit te geven? “, schreef Dormann.
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN-beoordeling: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Enterprise Software Beveiliging Tv-gegevensbeheer CXO-datacenters 