Microsoft adviseert Print Spooler uit te zetten na misbruik PrintNightmare-lek

Microsoft heeft work-arounds gepubliceerd om het risico op misbruik van een pas ontdekte kwetsbaarheid met betrekking tot de Print Spooler Service van Windows tegen te gaan. Het lek maakte onder omstandigheden het uitvoeren van code met systeemrechten mogelijk.

Microsoft heeft nog geen update uitgebracht om het lek te dichten, maar geeft in een beveiligingswaarschuwing twee opties om misbruik tegen te gaan. De eerste optie is om de Print Spooler-functie geheel uit te schakelen, de tweede is om via Groepsbeleid te voorkomen dat de Print Spooler binnenkomende clientconnecties accepteert. In beide gevallen is printen op afstand niet meer mogelijk, lokaal aansluiten van een printer werkt nog wel.

Microsoft meldt verder dat de kwetsbaarheid actief misbruikt wordt en dat deze alle versies van Windows treft. Het bedrijf verricht nog onderzoek om de ernst van de kwetsbaarheid te achterhalen, maar meldt al wel dat een aanvaller die met succes het lek misbruikt, Windows-domeincontrollers kan overnemen en met systeemrechten code kan uitvoeren op kwetsbare systemen.

Het Amerikaanse Cybersecurity and Infrastructure Security Agency adviseerde voorafgaand aan Microsofts waarschuwing al om de Print Spooler Service uit te schakelen in domeincontrollers en systemen die niet gebruikt worden om te printen. De kwetsbaarheid heeft de aanduiding CVE-2021-34527 gekregen en is gerelateerd aan kwetsbaarheid CVE-2021-1675. Beide betreffen RpcAddPrinterDriverEx, maar het gaat om verschillende kwetsbaarheden en aanvalsmethoden. CVE-2021-1675 is bij een beveiligingsupdate in juni gedicht.

Afgelopen week verschenen berichten over een kwetsbaarheid met betrekking tot de Print Spooler nadat het Chinese beveiligingsbedrijf QiAnXin een proof-of-concept en technische details over uitbuiten van de eerdere kwetsbaarheid CVE-2021-1675 online zette. Ze noemden hun exploit PrintNightmare en het bleek dat deze ook werkte op volledig gepatchte systemen. Daarmee gaat het om een zerodaykwetsbaarheid die weliswaar verband houdt met de eerdere kwetsbaarheid, maar als nieuw lek beschouwd moet worden. De patch die Microsoft in juni publiceerde, bleek onvoldoende om de PrintNightmare-aanvalsmethode tegen te gaan.

Reacties (169)

verdroidnogaan2 2 juli 2021 11:28

Volgens de MS Security Alert 'Windows Print Spooler Remote Code Execution Vulnerability' kan je de Printer Spooler service aan laten staan en (alleen) de Remote functie uitzetten:

Option 2 - Disable inbound remote printing through Group Policy
You can also configure the settings via Group Policy as follows:
Computer Configuration / Administrative Templates / Printers
Disable the “Allow Print Spooler to accept client connections:” policy to block remote attacks.
Impact of workaround This policy will block the remote attack vector by preventing inbound remote printing operations. The system will no longer function as a print server, but local printing to a directly attached device will still be possible.

Eluminate @verdroidnogaan2 • 2 juli 2021 13:24

Als je toch wilt kunnen blijven printen stel ik inderdaad deze optie voor.

Run (Windows-R)
gpedit.msc
In het menu aan de linkerkant ga achtereenvolgens naar:
Computer Configuration
-> Administrative Templates
--> Printers
Dubbelklik op "Allow Print Spooler to accept client connections".
Klik linksbovenin op "Disabled" en daarna op Apply/OK.

Zoals @mutsje hieronder aangeeft, eventjes de spooler service opnieuw starten naderhand.
Start
typ: "cmd", rechtermuisklik -> Run as administrator
net stop spooler; net start spooler

[Reactie gewijzigd door Eluminate op 22 juli 2024 18:49]

mutsje @verdroidnogaan2 • 2 juli 2021 13:39

Bij optie 2 is het verplicht de printspooler service te herstarten of het werkstation herstarten. Anders word de policy niet actief.

SunnieNL

Microsoft Windows

@verdroidnogaan2 • 2 juli 2021 14:11

En die inkomende verbindingen gebeurd standaard al op een client, omdat de windows firewall die normaal blokkeert. Het stoppen van de printer spooler op werkstations is dan ook not done. Als je dat wel doet werkt het printen lokaal ook niet meer
(en ik kijk daarbij totaal niet naar mijn collega's bij systeembeheer)

Argantonis 2 juli 2021 11:03

Run (Windows-R)
services.msc
Print Spooler -> properties
Startup type: disabled

tborgers @Argantonis • 2 juli 2021 11:50

Of via Group Policy in de Default Domain Controllers Policy.
Print Spooler op disabled zetten en stop service.

Binnen een paar minuten alle DC's met Print Spooler uitgeschakeld.
Mocht je later een nieuwe server toevoegen, dan krijgt deze direct deze policy voor de kiezen voor het geval je dit vergeet in te stellen voor een nieuwe server.

Djaro @tborgers • 2 juli 2021 13:45

Mag hopen dat je ze wel weer aanzet ?
Domain controller print spooler heeft extra functie:

On a domain controller, the installation of the DC role adds a thread to the spooler service that is responsible for performing print pruning – removing the stale print queue objects from the Active Directory. If the spooler service is not running on at least one DC in each site, then the AD has no means to remove old queues that no longer exist

aikebah @Djaro • 3 juli 2021 12:13

Domain controller print spooler heeft extra functie:

On a domain controller, the installation of the DC role adds a thread to the spooler service that is responsible for performing print pruning – removing the stale print queue objects from the Active Directory. If the spooler service is not running on at least one DC in each site, then the AD has no means to remove old queues that no longer exist

Mag toch hopen dat (OK wat meer handwerk) een sys admin dat ook met de hand zou kunnen doen en er niet per se een print spooler voor op je domain controller hoeft te draaien? Zou niet verwachten dat er veel mutaties op print-queues zijn (wel op items in de queue, maar die horen voor mijn gevoel ook niet thuis in AD)

Amiga3000 @Argantonis • 2 juli 2021 11:22

Stop ook de service als hij draait

kevlar01 @Argantonis • 2 juli 2021 11:22

Niet vergeten ook nog rechtermuisklik --> stop service te doen.

3DDude @Argantonis • 2 juli 2021 11:28

powershell als admin:
Set-service "spooler" -StartupType Disabled
get-service "print spooler" | stop-service
get-service "print spooler"

zoiets

R Kuipers @Argantonis • 2 juli 2021 13:20

En service stoppen, of herstarten na disablen

enchion @Argantonis • 2 juli 2021 15:19

Uberhaupt nooit begrepen waarom deze nooit op "Manual (Trigger Start)" staat en gewoon gestart wordt wanneer je wat wil printen.
Alsof je die 1 seconde verlies gaat merken bij een print die 20-60 seconden duurt.

Als MS nou eens zoveel mogelijk services default uit zet en alleen per gebruik start ipv zoveel mogelijk op Automatic te zetten zelfde met taskscheduler en overbodige-drivers, dan zouden dit soort attack mogelijkheden al bij voorbaat zo goed als onmogelijk zijn.

Eluminate @Anoniem: 1532362 • 2 juli 2021 13:31

Je kan via gpedit remote connections uitzetten. Dan kun je nog steeds lokaal printen, maar ben je niet meer kwetsbaar voor dit lek.

Zie mijn andere comment

Anoniem: 1532362 @Eluminate • 2 juli 2021 14:20

Ik gebruik al een andere mitigation die bijna geen nadelen heeft.
Dit powershell script:
$Path = "C:\Windows\System32\spool\drivers"
$Acl = (Get-Item $Path).GetAccessControl('Access')
$Ar = New-Object System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny")
$Acl.AddAccessRule($Ar)
Set-Acl $Path $Acl

bron: https://blog.malwarebytes...ndows-domain-controllers/

masgreece @Anoniem: 1532362 • 2 juli 2021 13:17

je moet het natuurlijk niet op je printservers uitzetten en niet op je clients.

Anoniem: 1532362 @masgreece • 2 juli 2021 13:21

Haha ja... wij gebruiken onze DC natuurlijk niet als printserver

masgreece @Anoniem: 1532362 • 2 juli 2021 13:31

lijkt me niet handig nee, scheiding der machten.

Trommelrem 2 juli 2021 10:44

Gelukkig bestaat SBS niet meer en komt een printspooler op een domain controller niet meer voor. Wel zul je in het MKB met een Legacy Werkplek nog wel servers tegenkomen met gedeelde taken, zoals een printspooler op een fileserver.

m3gA @Trommelrem • 2 juli 2021 10:51

Je bent wat dingen door elkaar aan het halen. Je hebt het over een print server. De print spooler service is op iedere server geinstalleerd en staat ook standaard aan. Ook al heb je geen printers geinstalleerd.

Henk Poley @m3gA • 2 juli 2021 10:58

Een mooie optie om tegen te gaan dat aanvallers via Printer Spooler nieuwe malafide printer drivers op een systeem zetten is door SYSTEM schrijf-rechten op C:\Windows\System32\spool\drivers te ontnemen: https://blog.truesec.com/...a-patch-is-not-available/

Kan je toch de Printer Spooler aan laten staan. Nadeel is dat nieuwe printer drivers niet meer automatisch geïnstalleerd worden.

[Reactie gewijzigd door Henk Poley op 22 juli 2024 18:49]

m3gA @Henk Poley • 2 juli 2021 11:02

Dit zijn oplossingen die meestal meer kwaad doen dan goed. Zou deze alleen als het echt niet anders kan gebruiken.

PolarBear @m3gA • 2 juli 2021 11:39

Het is ook geen oplossing maar een mitigerende maatregel.

Trommelrem @m3gA • 2 juli 2021 10:52

Dus kun je probleemloos een spoolertje uitschakelen

wjn @Trommelrem • 2 juli 2021 10:54

En dan? Hoe wil je printen vanaf een windows systeem met printspooler uitgeschakeld?

Marve79 @wjn • 2 juli 2021 10:59

Niet. Dat is ook de workaround, stop met printen. Beetje vreemde workaround. What's next, trek de netwerkkabel uit je PC om misbruik te voorkomen.

walteij @Marve79 • 2 juli 2021 12:57

Eindelijk een goede reden om duidelijk te maken hoeveel er onnodig wordt geprint.
Gewoon nu geforceerd overstappen op een paperless office.

warp @walteij • 2 juli 2021 19:37

Dit is wel heel kort door de bocht. Er zijn ook fortune500 document management applicaties als OpenText die de spooler gebruiken om honderden formaten om te zetten naar PDF... daar komt verder geen fysiek papier aan te pas

TheVivaldi @walteij • 2 juli 2021 17:53

Niet alle printjes zijn onnodig.

_Pussycat_ @walteij • 7 juli 2021 06:23

Leuk voor bv. notarissen die persé alles op papier moeten zetten om wettelijke redenen.

[Reactie gewijzigd door _Pussycat_ op 22 juli 2024 18:49]

walteij @_Pussycat_ • 7 juli 2021 07:45

Maar dat is dus geen onnodig printen en daar zal een paperless office dus inderdaad niet haalbaar zijn.

YangWenli @Marve79 • 2 juli 2021 11:55

If it works

maar zal wel snel gepatched worden.

MrBreaker @YangWenli • 2 juli 2021 16:44

I see what you did there $_/-\o_$

Luminai @Marve79 • 2 juli 2021 11:02

De PC is wel lekker veilig zonder internet

jeroen_loeffen @Marve79 • 2 juli 2021 11:12

Er zit een knop op je PC
Die helpt je zo uit de puree
Druk 'em in en ga maar mee
De bloemen buiten zetten

Trommelrem @wjn • 2 juli 2021 11:00

Een gecompromitteerd werkstation is kwalijk, maar een gecompromitteerde DC, fileserver of applicatieserver is 100x kwalijker. Kies de minst kwalijke.

wjn @Trommelrem • 2 juli 2021 11:12

Ja, want malware komt altijd binnen via een server, nooit via een werkstation. Of toch niet?

Persoonlijk vind ik beveiliging bij de voordeur belangrijker, dan midden in het gebouw bij de serverruimte.

Trommelrem @wjn • 2 juli 2021 11:19

Beveiliging aan de voordeur is achterhaald. De serverruimte is niet meer de veilige zone. Zero trust.
Maar het gaat nu om de legacy werkplek. Een werkstation kan niet zomaar SYSTEM rechten verkrijgen op een DC. Een DC kan wel SYSTEM rechten verkrijgen op een werkstation.

DigitalExorcist @wjn • 2 juli 2021 11:09

Zolang je niet vanaf je domaincontrollers hoeft te printen, of je domaincontroller ook als printserver fungeert maakt dat niks uit.

D11 @DigitalExorcist • 2 juli 2021 14:27

Buiten het feit dat de spooler service standaard aan staat (ook op domain controllers). Dus heb ik maar snel een policy gemaakt die hem voor alle servers uitzet.

Ook kun je de C:\Windows\System32\Spool\Drivers map deny modify rechten geven voor SYSTEM.

Zie ook:
https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/

DigitalExorcist @D11 • 2 juli 2021 14:41

Ja die 2e lijkt me niet zo handig... Windows kennende weet je maar nooit wat er daarna allemaal stuk gaat.

Die eerste, ja dat kan, zolang je geen printservers of applicatieservers hebt die willen printen-naar-PDF en dat soort ongein.

Rainboww @wjn • 2 juli 2021 20:01

Ik weet dat HP in ieder geval modellen heeft met ePrint: dan mail je je documenten naar de printer, in plaats van de klassieke manier.

SuperDre @wjn • 3 juli 2021 14:07

Je kunt nog wel printen, maar dan dus alleen nog als de printer direct op de betreffende machine is aangesloten, dan is de printspooler niet perse nodig.

SpoekGTi @Trommelrem • 2 juli 2021 10:54

Nee kan dus niet want op RDSen waarop
Mensen gewoon werken is de spooler gewoon nodig. Daarbij geldt dit lek ook voor workstations

Trommelrem @SpoekGTi • 2 juli 2021 10:55

Ik heb het specifiek over Domain Controllers. Een RDS rol installeer je niet op een DC.

m3gA @Trommelrem • 2 juli 2021 11:03

Dan nog staat een printspooler gewoon op een DC. Staat ook standaard op automatic start.

Trommelrem @m3gA • 2 juli 2021 11:06

Die zet je dan toch gewoon uit?

Dracula @Trommelrem • 2 juli 2021 12:51

Lol, dan heb jij zeker nog nooit in de “keuken” van kleine MKB bedrijven gekeken.

Daar is de DC alles, file, print, DC, etc.

En uiteraard single uitgevoerd want ja kost geld. En ja argumenten als 1 is geen en combineren van rollen is zeer onverstandig zijn aan dovemansoren gericht.

Sluuut @Dracula • 2 juli 2021 13:07

Dan kun je diezelfde hardware toch ook inzetten met een gratis virtualisatielaag en daarop 3 VMs draaien, eentje DC en de andere 2 zoveel mogelijk taken scheiden.

Dracula @Sluuut • 2 juli 2021 14:53

Ik praat nu uit oogpunt van een mkb partij die ergens een vps gehost afneemt.

En ja virtualiseren en kleine bedrijven. Vaak is het hebben van 1 server al een dingetje.

Blijft de een is geen regel van kracht als je 1 hardware doos virtueel gaat gebruiken.

m3gA @SpoekGTi • 2 juli 2021 10:59

Volgens mij kun je forceren dat de print server spoolt en niet de client met de gpo "Always render print jobs on the server". Maar geen idee of dit nog werkt als je de spooler daadwerkelijk uitzet op je RDS server.

Anoniem: 135360 @m3gA • 2 juli 2021 11:05

Kleine opmerking, op core server 2019 is de printspooler niet standaard geïnstalleerd...

m3gA @Anoniem: 135360 • 2 juli 2021 11:06

Goede. Jammer genoeg gebruiken te weinig mensen de core server.

Trommelrem @m3gA • 2 juli 2021 11:11

Volgens mij juist wel toch? Er is volgens mij geen enkele reden meer om bijv. in Azure een DC met GUI te installeren. Hoe meer GUI, hoe meer onnodige kosten.

pang-frang-punk @Trommelrem • 2 juli 2021 11:19

Helaas wel op bijvoorbeeld een domaincontroller die de ADSync service draait bij nood aan de extra's die AAD Cloud Sync niet biedt. Deze laatste heb ik onlangs werkend gekregen op een core server terwijl de starndaard ondersteuning hiervoor ontbreekt.

Trommelrem @pang-frang-punk • 2 juli 2021 11:20

ADSync hoort niet op een domain controller maar op een applicatieserver.

pang-frang-punk @Trommelrem • 2 juli 2021 11:22

Als IT het budget zou bepalen wel ja

PrismSub7 @Trommelrem • 2 juli 2021 13:43

Volgens mij kan ik beter zeggen dat ik puppy's haat. Dat zou minder reactie geven dan dat ik zeg dat je gewoon de core versie kan gebruiken.

m3gA @Trommelrem • 2 juli 2021 12:10

Omdat het gros van de bedrijven nog beheerders heeft die in het verleden leven en alle verandering is eng.

Anoniem: 14842 @Trommelrem • 2 juli 2021 10:53

Erm, dat je een DC niet als printserver gebruikt of gebruikt om er op af te drukken wil niet zeggen dat er geen printspooler op staat! Dat staat praktisch los van elkaar.

Default staat de spooler service op domain controllers gewoon aan en ben je dus vatbaar voor misbruik! Vandaar ook deze beveiligingswaarschuwing!

Trommelrem @Anoniem: 14842 • 2 juli 2021 10:57

Denk even vooruit. Omdat een DC nooit een printspooler gebruikt kun je hem dus gewoon uitschakelen. Ik geef alleen een waarschuwing af dat het in het MKB met Legacy Werkplekken gebruikelijk is dat servers gedeelde taken kunnen hebben, dus dat een printspooler met een applicatieserver of fileserver wordt gecombineerd. De applicatie of legacy fileshare kan dan worden gecompromitteerd.

Anoniem: 14842 @Trommelrem • 2 juli 2021 11:02

Dit heeft niets met vooruitdenken te maken maar gewoon met de realiteit. Een printspooler is totaal wat anders dan een server die ook dient als printserver. De spooler service wordt simpelweg gebruikt om af te drukken, ook als een server niet dienst doet als printserver.

Dat het op een normale DC uit kan omdat je niet op je DC gaat zitten om af te drukken of (erger) je DC gebruikt als printserver doet niets af aan het feit dat het standaard áán staat op alle Windows systemen.

Daarbij komt dat deze kwetsbaarheid niet alleen geldt voor domain controllers. In feite zou je op alle Windows systemen de spooler service moeten uitschakelen. Maar dan kun je in zeer veel (bijna alle) gevallen dus totaal niet meer afdrukken. Zelfs als je Linux print servers zou hebben ontvangen deze de opdrachten van een Windows machine via, juist: de spooler service...

[Reactie gewijzigd door Anoniem: 14842 op 22 juli 2024 18:49]

Trommelrem @Anoniem: 14842 • 2 juli 2021 11:05

Elders zeg ik: Een gecompromitteerd werkstation is kwalijk, maar een gecompromitteerde DC, fileserver of applicatieserver is 100x kwalijker. Kies de minst kwalijke.

Ik besef terdege dat de kwetsbaarheid voor alles geldt, maar soms is er (nog) geen goede oplossing. Wel een matig kwalijke oplossing.

PageFault @Anoniem: 14842 • 2 juli 2021 11:23

Dat is correct, iedereen denkt dat het alleen voor domain controllers geldt, maar om die mensen uit de droom te helpen:

https://docs.microsoft.co...ity/cas-isp-print-spooler

While this security assessment focuses on domain controllers, any server is potentially at risk to this type of attack.

PD2JK

@Trommelrem • 2 juli 2021 10:54

Dat is leuk voor de zaak, maar iedereen met een printer thuis (en Windows) heeft een print spooler draaien.

Daarnaast hebben Citrix/RDS servers ook de print spooler nodig, ook al zijn ze geen print server, tenzij je bij Citrix (bijvoorbeeld VDI) gebruik maakt van de Citrix Print Manager Service.

Marve79 @PD2JK • 2 juli 2021 10:58

Citrix Print Manager Service heeft print spooler als dependency.

Zonder print spooler service kun je niet printen. Zet die uit en je ziet niet eens printers.

Blokker_1999

Microsoft Windows
Microsoft
Beveiliging en antivirus

@Trommelrem • 2 juli 2021 10:47

Maar dat maakt het niet OK natuurlijk. Een aanvaller springt van het ene naar het andere systeem, altijd op zoek naar meer rechten. Het is niet omdat deze niet onmiddelijk op de print spooler kan van een DC dat dit geen andere mogelijkheden biedt in een netwerk.

Anoniem: 1532362 @Trommelrem • 2 juli 2021 13:03

Hoezo komt printspooler op een domain controller niet meer voor?
Ik heb hier gewoon Server 2016 waar de printspooler actief gebruikt wordt.

wjn 2 juli 2021 10:49

Microsoft heeft nog geen update uitgebracht om het lek te dichten, maar geeft in een beveiligingswaarschuwing twee opties om misbruik tegen te gaan. De eerste optie is om de Print Spooler-functie geheel uit te schakelen, de tweede is om via Groepsbeleid te voorkomen dat de Print Spooler binnenkomende clientconnecties geaccepteerd worden. In beide gevallen is printen op afstand niet meer mogelijk, lokaal aansluiten van een printer werkt nog wel.

Hoe dan, als de printspooler van je systeem uit staat?
Je kunt dus feitelijk niet meer printen met een Windows systeem.

Edit: Oh ja, op de parallelle poort waarschijnlijk.

[Reactie gewijzigd door wjn op 22 juli 2024 18:49]

DigitalExorcist @wjn • 2 juli 2021 11:10

Het gaat hier om domain controllers he... niet om client PC's.

Ethelind @DigitalExorcist • 2 juli 2021 11:29

Het gaat hier om alle machines waar windows NT, RT, 8, 10, 2008, 2012, 2016 of 2019 op staat.
Zowel servers als client devices zijn vatbaar voor de kwetsbaarheid in de print spooler.
Hier heb je informatie met links naar meer informatie:

https://advisories.ncsc.nl/advisory?id=NCSC-2021-0571

Het is met deze kwetsbaarheid mogelijk om via de Print Spooler service van Microsoft een verhoogde recht te krijgen waardoor het bij voorbeeld mogelijk is de Domain Controller over te nemen. Dit wil niet zeggen dat je verder niks kan met de rechten. ;-)

[edit: meer informatie toegevoegd]

[Reactie gewijzigd door Ethelind op 22 juli 2024 18:49]

Anoniem: 14842 @wjn • 2 juli 2021 10:57

Nee, je kunt de printspooler ook zo beveiligen (GPO of gewoon PowerShell commando) dat deze niet meer (remote) is aan te passen. Als je de juiste software hebt kan deze nog printertaken accepteren en kan er worden afgedrukt via de lokale print spooler.

Toegegeven: dramatisch is dit wel.

Anoniem: 111246 2 juli 2021 11:05

Je kunt je afvragen in hoeverre dit nou echt een issue is.
Ja, het is een serieuze bug. Maar, normaliter hangt een Domain Controller niet openbaar aan het internet.
Je moet al op het interne netwerk zijn en je dan toegang verschaffen tot die server voor je deze exploit kunt gaan inzetten.

Wel een gelegenheid om je hardening te verbeteren en op servers gewoon die print spooler uit te zetten (dsiabled) tenzij absoluut nodig.

maevian @Anoniem: 111246 • 2 juli 2021 11:12

tenzij je domain Azure AD gebruikt natuurlijk, weet niet of die ook vatbaar is

Trommelrem @maevian • 2 juli 2021 11:26

Goede vraag. Is Universal Print eigenlijk vatbaar?

Anoniem: 1322 @Trommelrem • 2 juli 2021 11:45

Nee, ik vermoed van niet...
The Microsoft Windows Print Spooler service fails to restrict access to the RpcAddPrinterDriverEx() function, which can allow a remote authenticated attacker to execute arbitrary code with SYSTEM privileges on a vulnerable system.

Description
The RpcAddPrinterDriverEx() function is used to install a printer driver on a system. One of the parameters to this function is the DRIVER_CONTAINER object, which contains information about which driver is to be used by the added printer.
https://www.kb.cert.org/vuls/id/383432

Dit is echt oude legacy meuk om drivers te installeren op afstand.

Operativus @Anoniem: 111246 • 2 juli 2021 11:14

Dat is een issue omdat dit dus eventueel ook vanaf een werkstation kan worden afgetrapt. En je weet hoe de meeste mensen zijn: Die klikken over het algemeen alles aan zonder na te denken.

stijnvanhoof @Anoniem: 111246 • 2 juli 2021 11:17

Als je op een systeem kunt geraken met gewone user rechten kan je met deze ineens remote code execution uitvoeren op elk systeem onder SYSTEM … Dus dit is echt een serieus issue want stap 1 is echt niet zo moeilijk….

Meer info
https://www.bleepingcompu...t-allows-domain-takeover/

Anoniem: 1532362 @stijnvanhoof • 2 juli 2021 13:04

Kan ik eindelijk Spotify installeren op mijn werk PC, dat mag niet van de systeembeheerders

Anoniem: 316512 @Anoniem: 111246 • 2 juli 2021 11:29

Aangezien RCE mogelijk is, hoef je jezelf geen toegang te verschaffen tot de server.

Je hoeft dus alleen in het subnet te zitten van de omgeving met bijvoorbeeld een DC. Ik noem even wat scenario's op:

- Een medewerker krijgt een virus waardoor een RAT tool geinstalleerd wordt. De hacker kan daarna makkelijk via een scriptje SYSTEM rechten krijgen in het domain.
- Een medewerker voert de exploit zelf uit, om wat voor reden dan ook
- Je gaat als aanvaller bij een bedrijf naar binnen en komt erachter dat een bepaald poortje niet goed gepatched is en je gewoon met je laptop in het kantoor netwerksegment kan komen
- Je verbindt naar het gastennetwerk van een bedrijf en voert pivoting uit

Allemaal zaken die echt wel kunnen gebeuren. Dit is absoluut een issue. Natuurlijk zijn bovenstaande zaken die je als bedrijf kan voorkomen, maar hoe vaak gebeurt dat ook echt? En dit zijn dan een paar scenario's die ik nu in 1 minuut bedenk. Je kan een boel andere manieren gebruiken om dit exploit uit te voeren.

Polderviking

@Anoniem: 111246 • 5 juli 2021 16:41

Maar, normaliter hangt een Domain Controller niet openbaar aan het internet.

Je DC hangt als het goed is niet zomaar aan internet, maar Betsy van HR kan evengoed nog wel op een malware linkje klikken in de mail ofzo, en via haar PC kan je DC geëxploiteerd worden.

De hamvraag is hier waarom die spooler standaard aanstaat en standaard remote verbindingen accepteert.
Vind dat niet echt een gezonde "default waarde" voor een server.

bartje 2 juli 2021 10:57

duidelijk verhaal, maar ik heb 2 vragen
1. wanneer de print spooler uitgeschakeld wordt werkt een wifi printer dan nog wel?
ik weet namelijk niet of deze als lokaal gezien wordt door windows of niet.
2. waarom staat deze service standaard aan?

comatoast @bartje • 2 juli 2021 11:06

1. in de meeste gevallen niet, tenzij er third-party software gebruikt wordt om de printer aan te sturen.
2. stupid default setting for server, ik denk dat <1% van de servers dit nodig heeft.

batjes

Microsoft Windows
Microsoft

@bartje • 2 juli 2021 11:14

1) nee
2) omdat printen een standaard OS functionaliteit is die vaker wel dan niet gebruikt wordt.

Fairy @bartje • 2 juli 2021 11:04

1. Zonder print spooler kan je gewoon op de WiFi. Overigens, een DC via WiFi heb ik nog niet eerder gezien...
2. Deze staat standaard aan, omdat je standaard verwacht dat je kan printen. Zonder print spooler is printen niet mogelijk en dat is toch wel een redelijk basic functie.

sjonie100 @Fairy • 2 juli 2021 11:17

1. Zonder print spooler kan je gewoon op de WiFi.

De vraag was of een wifi-printer nog wel werkt. Nee, dus. (werkt wel, maar niet via windows zonder print spooler)

Fairy @sjonie100 • 2 juli 2021 11:17

Klopt, ik las over het woord printer heen.

SuperDre @Fairy • 3 juli 2021 14:19

Zonder print spooler is printen niet mogelijk en dat is toch wel een redelijk basic functie.

Das niet waar, je kunt gewoon printen zonder printspooler, naar een printer die direct is aangesloten op je eigen pc. Bepaalde opties bij printen vallen dan weg (bv niet te delen met andere gebruikers).

Fairy @SuperDre • 4 juli 2021 16:24

In een bedrijf is het verre van gebruikelijk om een printer rechtstreeks aan de computer te hebben hangen in plaats van via het netwerk. Daarom ga ik niet uit van uitzonderingssituaties.

Anoniem: 1532362 @bartje • 2 juli 2021 13:05

1. ja als je direct naar de wifi printer verbind. Nee als de computer naar de DC verbind, en de DC vervolgens naar de WiFi printer.
2. Is nodig voor printen, tenzij je wilt dat je applicatie vastloopt terwijl hij wacht tot de printopdracht voltooid is.

[Reactie gewijzigd door Anoniem: 1532362 op 22 juli 2024 18:49]

mvrhrln 2 juli 2021 10:52

Ik neem aan alleen uitschakelen op servers die niet de rol als printserver dienen?

Fairy @mvrhrln • 2 juli 2021 10:55

Naar mijn weten uitschakelen op alle servers, behalve de printserver en clients.

Houd er alleen wel rekening mee dat sommige servers misschien automatisch rapportages printen, die hebben het wél nodig, maar dat is normaliter geen DC (tenzij in een kleine omgeving).

mvrhrln @Fairy • 2 juli 2021 10:59

ok, neem ik gelijk ff op met onze sysadmin.
beetje raar en kort advies van MS, ze hadden zich wel de moeite kunnen nemen om dit iets beter uit te leggen. maar goed, bijna weekend, adem-in, adem-uit

Toontje_78 @mvrhrln • 2 juli 2021 11:03

Dan heeft die sysadmin ook niet veel tijd meer om t te fixen, met bijna weekend..

[Reactie gewijzigd door Toontje_78 op 22 juli 2024 18:49]

WPNL @Toontje_78 • 2 juli 2021 11:30

Het was woensdag al bekend ;-)

Keypunchie 2 juli 2021 10:58

Zo’n bericht als dit doet me beseffen dat ik anno 2021 echt geen flauw benul (meer) van printers heb.

Waarvoor dient deze ‘spooling’ service? Dat is toch een soort queuing van print opdrachten?

De meeste printers bieden die dienst toch gewoon zelf?

Misschien dat een groot bedrijf een dedicated ‘print server’ heeft, om follow me anywhere te kunnen printen?

Klinkt allemaal nogal archaïsch iig.

RobbyTown

@Keypunchie • 2 juli 2021 11:06

Als je windows hebt en rechten

Configuratiescherm > Systeembeheer > Services > Print Spooler zet die maar is uit (stoppen).

Moet jij is kijken bij je printers hoeveel printers je nog ziet

Keypunchie @RobbyTown • 2 juli 2021 11:32

Thuis geen printer en op de zaak Apple Airprint :-)

Niet dat die printer veel te doen heeft, zeker zo in Coronatijd.

Fairy @Keypunchie • 2 juli 2021 11:06

Dit is geen 2021 software. De printspooler zat er volgens mij in Windows NT al in (ruim voor het milennium).

Printspooling heb je nodig om prints van gebruikers aan te bieden aan de printer, deze eventueel vast te houden, opnieuw af te drukken of te poolen (meerdere printers op 1 queue).

bouwfraude @Fairy • 2 juli 2021 11:49

Vroeger met de matrixprinters was de spooler wel leuk als er een verkeerde opdracht heen ging. De printer uitzetten hielp niet na het opnieuw aanzetten begon deze overnieuw met langdurig en luidruchtig printen en de job cancelen wilde ook vaak niet.

Fairy @bouwfraude • 2 juli 2021 14:10

Inderdaad, allemaal meegemaakt. Moest je eerst in Unix de opdracht cancellen, dan het lan>serieel kastje uit aan en dan de printer.

g4wx3 @Keypunchie • 2 juli 2021 11:38

Bij het commando om af te drukken, zal windows eerst het document afdrukken naar een "spool" ipv rechtstreeks de printcommando's te sturen, zoals dat gebeurde met de LPT1-poort.
Bij de rechtstreekse methode moet je echt wachten op je computer totdat het vel papier is afgedrukt. Door het spoolen kan je na het virtueel printen weer verder, en dus multitasken, en ook meerdere documenten in wachtrij zetten.

hackerhater @Keypunchie • 2 juli 2021 12:13

Dat de spooler standaard erin zit is niet zo raar (inderdaad een queue voor verzenden)
Dat ie überhaupt met zo'n hoge rechten draait terwijl het maar een domme queue is, dat het is het rare.

The Zep Man

Beveiliging en antivirus
Microsoft Windows

2 juli 2021 11:02

Het is ook treurig dat het printersysteem van Windows nog steeds afhankelijk is van verhoogde rechten. Zie bijvoorbeeld CUPS, dat volledig in een omgeving met beperkte rechten werkt. Dit terwijl gebruikers gewoon printers kunnen beheren (toevoegen, verwijderen) en gebruiken.

Minder rechten had deze kwetsbaarheid niet voorkomen, maar wel de impact beperkt.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 18:49]

segil 2 juli 2021 11:21

wel een toevoeging op het uitschakelen van de print spooler op een domain controller. Het gevolg is wel dat pint pruning niet meer vanzelf gaat op de DC.

Zie ook: https://docs.microsoft.co...ain-controllers-introduce

The domain controller role adds a thread to the spooler service that is responsible for performing print pruning – removing the stale print queue objects from the Active Directory. Therefore, the security recommendation to disable the Print spooler service is a trade-off between security and the ability to perform print pruning. To address the issue, you should consider periodically pruning stale print queue objects.

Op dit item kan niet meer gereageerd worden.

Microsoft adviseert Print Spooler uit te zetten na misbruik PrintNightmare-lek

Lees meer

Reacties (169)

Sorteer op:

Weergave: