Opnieuw een Print Spooler-kwetsbaarheid gevonden in Windows

Er is een nieuwe PrintNightmare-achtige kwetsbaarheid ontdekt in Windows 10, die opnieuw problemen veroorzaakt voor de Print Spooler-service.

Het zijn een paar zware weken geweest in de wereld van de beveiligingsproblemen in Windows 10. Een printspoolerprobleem genaamd PrintNightmare werd aan het licht gebracht door een groep die dacht dat het al was gepatcht. Microsoft heeft een out-of-band-patch uitgegeven om het te repareren. Het enige probleem was dat de cumulatieve update het probleem niet echt goed oploste.

Nu is er nog een Windows Print Spooler kwetsbaarheid (via BleepingComputer) dat is ontdekt. De kwetsbaarheid is CVE-2021-34481 en de samenvatting is als volgt:

Er bestaat een beveiligingslek met betrekking tot misbruik van bevoegdheden wanneer de Windows Print Spooler-service bevoorrechte bestandsbewerkingen onjuist uitvoert. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan willekeurige code uitvoeren met SYSTEEM-rechten. Een aanvaller kan dan programma's installeren; gegevens inzien, wijzigen of verwijderen; of maak nieuwe accounts aan met volledige gebruikersrechten.

Een aanvaller moet de mogelijkheid hebben om code uit te voeren op een slachtoffersysteem om dit beveiligingslek te kunnen misbruiken.

De oplossing voor dit beveiligingslek is het stoppen en uitschakelen van de Print Spooler-service.

Gelukkig lijkt dit niet zo ernstig te zijn als PrintNightmare was en nog steeds is. De aanvalsvector is lokaal, wat betekent dat de slechte actor die misbruik maakt van dit beveiligingslek toegang moet hebben tot de machine. Dit wordt echter vermeld als een lage aanvalscomplexiteit en weinig vereiste rechten.

Microsoft heeft niet gezegd wanneer er een oplossing beschikbaar zal zijn voor het nieuwe Print Spooler-probleem. Patch Tuesday is net voorbij, dus het is een beetje te laat om het deze maand voor iedereen te repareren. Het bedrijf zou nog een out-of-band update kunnen uitbrengen als het dat wil, of het probleem kunnen oplossen in de optionele cumulatieve updates van deze week.

Als u denkt dat u mogelijk last heeft van dit probleem, is het raadzaam de Print Spooler-service af te sluiten. Dat zal uiteraard problemen veroorzaken met uw vermogen om lokaal of op afstand vanaf uw computer af te drukken. U kunt Print Spooler afsluiten door de volgende opdrachten uit te voeren in PowerShell:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled