Een nieuw zero day-lek in de Windows Print Spooler laat aanvallers toe om zich totale privileges toe te eigenen, eigen code uit te voeren en een domeinserver over te nemen.
De technische details van een nieuw zero day-lek in de Windows Print Spooler zijn per ongeluk publiek gedeeld. Via het lek kunnen aanvallers een Windows domain controller compleet overnemen en malware uitrollen over een bedrijfsnetwerk. Het gevaarlijke lek treft zelfs de meest up-to-date versies van Windows Server 2019. De Print Spooler-service tijdelijk uitschakelen is voorlopig de enige remedie.
Verwarring door meerdere lekken
De Print Spooler Service blijkt zo lek als een gatenkaas en dat zorgde voor verwarring bij beveiligingsonderzoekers. Specialisten ontdekten volgens BleepingComputer eerder kwetsbaarheid CVE-2021-1675 in de service. Ook die kwetsbaarheid is ernstig en laat aanvallers toe om met hoge privileges code uit te voeren. Microsoft werd op de hoogte gebracht van het probleem en rolde patches uit voor Windows Server 2019.
Andere beveiligingsonderzoekers ontdekten de nieuwe zero day-kwetsbaarheid die ze PrintNightmare noemden. Ze zagen de communicatie rond CVE-2021-1675 en dachten dat Microsoft het lek net gepatcht had. Daarop deelden ze hun proof-of-concept-aanval met de wereld. Helaas blijkt PrintNightmare niet hetzelfde te zijn als CVE-2021-1675 waardoor de experts per ongeluk de instructies voor een kritiek en ongepatcht lek online plaatsten.
Lokale toegang
Het hek is nu van de dam: PrintNightmare is publiek en kan uitgebuit worden door hackers, terwijl Microsoft nog geen patch klaar heeft. Aanvallers kunnen het lek gelukkig niet via het internet misbruiken: ze hebben toegang nodig tot een account in het domein. Dat is niet zo’n grote beperking: gebruikersnamen en wachtwoorden voor niet-geprivilegieerde accounts van werknemers lekken vaak en zijn massaal via het dark web te koop.
Tweefactorauthenticatie helpt om ervoor te zorgen dat een aanvaller geen voet aan grond krijgt. Verder kan je zoals gezegd best de Print Spooler Service uitschakelen. Zorg er tot slot voor dat Windows Server 2019 up-to-date is: zo ben je op z’n minst beschermd tegen CVE-2021-1675.