Microsoft lost de PrintNightmare-bugs in Windows 10 op met een nieuwe patch. Die maakt het onmogelijk voor gebruikers zonder admin-rechten om printdrivers te installeren.
Microsoft lanceert een broodnodige patch voor de PrintNightmare-bugs in Windows 10. Die bugs werden begin vorige maand ontdekt en maken het mogelijk voor aanvallers om de domain controller binnen een organisatie helemaal over te nemen. Microsoft lanceerde snel een noodpatch, maar die loste het probleem niet helemaal op.
Administrator
Dinsdag begon Microsoft met de maandelijkse uitrol van updates voor Windows 10 en daarin vinden we ook een nieuwe patch voor de problemen. De oplossing voor de kwetsbaarheid heeft echter een flinke keerzijde. Na de update heb je administratorrechten nodig om een printer over het netwerk toe te voegen aan je systeem. Tot nu zorgde de Point and Print-service van Microsoft ervoor dat iedereen een printer kon toevoegen zonder de handmatige installatie van drivers, maar die functionaliteit ligt aan de basis van het veiligheidsprobleem.
De patch kan zo extra kopzorgen voor administrators met zich meebrengen. Printers installeren en updates voor de drivers uitrollen wordt zo hun exclusieve bevoegdheid. Extra vervelend wordt het in een context waar werknemers op verplaatsing een eigen printer willen toevoegen, zoals thuis.
Microsoft voorziet wel een achterpoortje. Via het register kan je het gedrag van de Point and Print alsnog aanpassen. Microsoft introduceert daarvoor een nieuwe key onder HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint. Zoek naar RestrictDriverInstallationToAdministrators en zet de waarde naar 0 om installatie door niet-administrators toe te laten. De ingenieurs in Redmond raden wel af om het standaardgedrag aan te passen, aangezien het risico op misbruik zo opnieuw toeneemt.
Nog niet helemaal opgelost
Hoewel dit de tweede patch voor PrintNightmare is, zijn de problemen nog steeds niet helemaal van de baan. Beveiligingsonderzoekers ontdekten dat het nog altijd mogelijk is voor aanvallers om de beveiliging van de Windows Print Spooler en Point and Print te omzeilen, ook wanneer het doelwit geen administratorrechten heeft. Dat gaat echter niet meer vanop afstand: een hacker heeft toegang nodig tot het lokale netwerk om de aanval uit te voeren. Het risico is dus niet meer zo groot. Organisaties die toch schrik krijgen, kunnen de Print Spooler uitschakelen of via een group policy aangeven dat systemen enkel data mogen aanvaarden van printservers op een whitelist.