De noodpatch die Microsoft dinsdag uitrolde om een gevaarlijke kwetsbaarheid in de Windows Print Spooler op te lossen, timmert het lek niet helemaal dicht.
Microsoft lanceerde dinsdag een noodpatch om de PrintNightmare-kwetsbaarheid in de Windows Print Spooler op te lossen. Die service bevat een gevaarlijke zero day die hackers kunnen misbruiken om zich administratortoegang te geven tot de domain controller van een bedrijfsnetwerk. Van daaruit kunnen ze in theorie het hele netwerk van malware voorzien. De patch leek dus een godsgeschenk.
Point and print
In de praktijk lost Microsoft PrintNightmare maar deels op. Amper twaalf uur na de lancering van de patch toonde een beveiligingsonderzoeker al aan hoe hij die kon omzeilen. Concreet zijn systemen die de Point and Print-functie gebruiken nog kwetsbaar. Die functionaliteit maakt het eenvoudiger voor een systeem om een netwerkprinter te gebruiken. Zodra een endpoint wil printen, voorziet de printserver automatisch de nodige drivers en configuratiebestanden.
Microsoft geeft zelf aan dat Point and Print het beveiligingspostuur van een organisatie zwakker maakt ‘op een manier die exploitatie mogelijk maakt’. Lees: “Onze patch patcht niet alles.”
Toch is de patch niet waardeloos. Organisaties die standaard-instellingen voor hun domain controllers en Windows-systemen gebruiken, zijn wel degelijk beschermd. Het hack bedacht door de beveiligingsonderzoeker werkt, maar vormt geen groot acuut risico voor de meeste bedrijven. Het loont desalniettemin de moeite om na te gaan in welke mate je organisatie na de installatie van de update nog kwetsbaar is.
Slordig
Van de kant van Microsoft kunnen we de saga gerust slordig noemen. De Windows Print Spooler lekt al geruime tijd. Verwarring rond een eerdere patch voor een gelijkaardige bug als PrintNightmare zorgde er zelfs voor dat de proof of concept-code voor deze kwetsbaarheid online terecht kwam. Dat een essentiële patch nu met belangrijke kanttekeningen komt, versterkt het vertrouwen niet.