Microsoft brengt noodpatch uit voor PrintNightmare-bug

Microsoft heeft een noodpatch uitgebracht die de PrintNightmare-kwetsbaarheid repareert. De ernstige bug zat in de Windows Print Spooler-functie en maakte remote code executions mogelijk. De patch maakt het nog steeds mogelijk de bug lokaal uit te buiten.

Microsoft heeft de update out of band uitgebracht, dus buiten Patch Tuesday om. Het gaat om een patch voor een lek dat de code CVE-2021-34527 heeft gekregen en ook wel PrintNightmare wordt genoemd. Het lek werd actief uitgebuit nadat het vorige week werd ontdekt.

De patch is KB5004945 voor Windows 10-versies 2004, 20H2 en 21H1. Voor oudere versies van Windows 10, waaronder versie 1809 en 1507, is een andere KB-patch beschikbaar. Er zijn ook patches voor Windows Server 2019 beschikbaar en voor oudere versies van Windows en Windows Server, waaronder KB5004954 voor Windows 8.1 en Windows Server 2012 R2 en KB5004953 voor Windows 7 en Windows Server 2008 R2. Er zijn momenteel nog geen patches voor Windows 10 1607 of voor Windows Server 2016 en 2012. Die volgen later nog.

De patch repareert niet ieder onderdeel van PrintNightmare. Het lek maakte het mogelijk om een remote code execution uit te voeren. De KB-updates hebben dat probleem nu opgelost. Tegelijkertijd merkt securityonderzoeker Hacker Fantastic op dat het ondanks de patch nog steeds mogelijk is een local privilege escalation uit te voeren. Om dat te voorkomen, kunnen gebruikers de Point&Print-functionaliteit uitschakelen. Microsoft heeft ook KB5005010 uitgebracht, een patch waarmee nieuwe printerdrivers niet meer zomaar kunnen worden geïnstalleerd. Daarnaast heeft Microsoft vorige week al een work-around gepubliceerd waarmee Print Spooler kan worden uitgeschakeld om uitbuiting te voorkomen.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 07-07-2021 09:2793

07-07-2021 • 09:27

93 Linkedin

Lees meer

Microsoft waarschuwt voor einde van ondersteuning voor Windows 10 21H1 Nieuws van 13 oktober 2022
Microsoft brengt patch uit voor authenticatieproblemen in Windows Server Nieuws van 16 november 2021
Microsoft repareert 55 lekken op Patch Tuesday waaronder twee actief misbruikte Nieuws van 10 november 2021
Microsoft waarschuwt voor actief misbruikte zeroday in Office 365 en Office 2019 Nieuws van 8 september 2021
Alleen admins kunnen na PrintNightmare-patch nog printers en drivers installeren Nieuws van 12 augustus 2021
Microsoft brengt out-of-band-patch uit voor printerbug in Windows 10 1809 Nieuws van 29 juli 2021
Windows Server 2022 krijgt enkel nog 10 jaar Long Term Servicing-ondersteuning Nieuws van 29 juli 2021
16 jaar oude kwetsbaarheid ontdekt in laserprintersoftware HP, Samsung en Xerox Nieuws van 21 juli 2021
Microsoft waarschuwt voor nieuwe kwetsbaarheid in printsysteem Windows 10 Nieuws van 17 juli 2021
Microsoft neemt enterprise-beveiligingsbedrijf RiskIQ over Nieuws van 12 juli 2021
Microsoft fixt problemen labelprinters veroorzaakt door PrintNightmare-update Nieuws van 9 juli 2021
Microsoft adviseert Print Spooler uit te zetten na misbruik PrintNightmare-lek Nieuws van 2 juli 2021
Microsoft brengt fix uit voor privilege escalation-bug in Windows 8.1 en Server Nieuws van 20 augustus 2020
Mozilla brengt noodpatch uit voor Firefox wegens lek dat actief wordt misbruikt Nieuws van 8 januari 2020
Microsoft brengt noodpatch uit voor zeroday in Internet Explorer Nieuws van 24 september 2019
Microsoft waarschuwt voor aanval en brengt noodpatch voor Windows XP uit Nieuws van 13 juni 2017
Meer producten en artikelen
Beveiliging en antivirus Microsoft Windows

Reacties (93)

-Moderatie-faq
93
93
32
9
1
52
Wijzig sortering
dycell
7 juli 2021 11:53
Blijkbaar is er veel verwarring (zo te zien aan de comments).
Kort door de bocht: Iedere gebruiker kan zich door deze exploit eleveren tot SYSTEM (het hoogste recht binnen Windows) en alle systemen (windows 10 home to Server 2019) zijn vatbaar.

De code om deze bug te exploiteren is sinds afgelopen donderdag (01-07-2021) bekend en wordt actief misbruikt. Het bereik van deze exploit is enorm gezien het gebruikt kan worden om lokaal een machine over te nemen (lees, een simpele office macro kan je gehele systeem versleutelen) maar ook effectief iedere computer / server (overal waar de printspooler draait) op je netwerk.

Het advies is voor iedereen: Schakel je print spooler service uit.
De workarounds bieden je geen bescherming tegen lokale escalatie en dit is waar de meeste virussen gebruik van maken. Het is momenteel de enige manier om te garanderen dat men deze exploit niet kan gebruiken op je Windows systeem. Start powershell en voer uit:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Je kunt daarna niet meer printen en sommige programma's kunnen problemen vertonen maar dit is momenteel de enige volledige oplossing.

Het is wachten op een volledige patch en communicatie van Microsoft. Tot die tijd, wees extra alert voor phishing en malware.

[Reactie gewijzigd door dycell op 7 juli 2021 11:56]

Username3457829
@dycell7 juli 2021 22:13
Ennuhhhh hoe en wanneer kan je dit weer ongedaan maken? Moet ik dat handmatig doen of gaat dat met een volgende patch weer automatisch? Hoe lang blijven deze commando's geldig, is het met een reboot weer terug ingeschakeld of wat? Welke commands moet je dan invoeren?

[Reactie gewijzigd door Username3457829 op 7 juli 2021 22:14]

dycell
@Username34578297 juli 2021 22:52
Wel handig om even te vertellen inderdaad. Maar het advies komt rechtstreeks van Microsoft en daar hadden ze dit niet vermeld.
Ennuhhhh hoe en wanneer kan je dit weer ongedaan maken?
Door de print spooler service weer in te schakelen:
Set-Service -Name Spooler -StartupType Automatic
Start-Service -Name Spooler

Moet ik dat handmatig doen of gaat dat met een volgende patch weer automatisch?
Deze 'oplossing' is een handmatig actie. Deze moet je na het uitkomen van de patch ook weer handmatig terugdraaien (met de commando's hierboven vermeld). De patch zal, wanneer deze uitkomt, via Windows Update uitgerold worden.

Hoe lang blijven deze commando's geldig, is het met een reboot weer terug ingeschakeld of wat?
Het eerste commando schakelt het print systeem uit, het tweede commando zorgt dat deze niet meer zomaar gestart kan worden (zoals bij een reboot gebeurd).

Dit zijn vrij geavanceerde acties dus als je je hier niet fijn bij voelt kan je ook gewoon wachten tot Microsoft het gefixed heeft. De patches komen vanzelf via Windows Update, we weten alleen nog niet wanneer. Wees tot die tijd simpelweg extra alert en doe geen gekke dingen. Open geen vreemde e-mail links en bezoek geen onbetrouwbare websites (zoals illegale sites).
BeosBeing
@dycell8 juli 2021 10:25
Kort door de bocht: Iedere gebruiker kan zich door deze exploit eleveren tot SYSTEM (het hoogste recht binnen Windows) en alle systemen (windows 10 home to Server 2019) zijn vatbaar.
Dat is serieus. Vaak wordt je door Windows ook als Administrator nog steeds geblokkeerd om bepaalde dingen aan te passen, dan zou je dus om het probleem op te moeten lossen jezelf moeten kunnen eleveren tot SYSTEM, maar dat gaat niet. Malware kan dat nu dus wel.
Het advies is voor iedereen: Schakel je print spooler service uit.
...
Je kunt daarna niet meer printen en sommige programma's kunnen problemen vertonen maar dit is momenteel de enige volledige oplossing.
En voor sommige mensen/bedrijven is het printen nu net essentieel, die kunnen geen moment zonder en heeft de pc geen enkel bestaansrecht zonder printfunctie. Er zijn zelfs mensen (niet ik hoor) bij wie de printfunctie actief moet blijven terwijl ze zelf slapen.

Dit is dus zeer ernstig.
Fireshade
7 juli 2021 09:42
Als ik het goed begrijp, heeft de doorsnee consument er thuis geen last van. Dit is alleen gevaarlijk als je domeincontrollers in gebruik hebt, dus vaak zijn dit (grotere) bedrijven. Correct?
bommel
@Fireshade7 juli 2021 09:49
Nee dat leek in eerste instantie zo maar inmiddels moet je voor alle windows versies en edities (ook workstations!) maatregelen nemen omdat er zowel remote als local code exection is.

Dit schema van GentilKiwi geeft het goed weer:https://pbs.twimg.com/med...HB9?format=png&name=large

Je kunt dus het beste 2 GPO's configureren onder
Local Computer Policy -> Administrative Templates -> Printers
  • Allow Print Spooler to accept client connections -> Disabled
  • Point and Print Restrictions -> Enabled en dan beide Security Prompts op Show warning and elevation prompt
Tot slot UAC aan, maar dat moet je sowieso doen :)

[Reactie gewijzigd door bommel op 7 juli 2021 09:53]

GekkePrutser
@bommel7 juli 2021 10:10
Je kan ook gewoon de service disablen :) Hoeft niet via een GPO. Mensen met Windows home kunnen dat zo ook niet doen. Want dat heeft geen group policy editor. Dan kan je alleen ook lokaal niet meer printen maar de patch komt er nu toch aan.

Het is sowieso wel raar dat de print spooler uberhaupt client verbindingen accepteert als er geen printers op het netwerk gedeeld worden.

[Reactie gewijzigd door GekkePrutser op 7 juli 2021 10:11]

bommel
@GekkePrutser7 juli 2021 10:12
Behalve als je wil printen? Op een DC is er natuurlijk geen enkele noodzaak voor een print spooler maar op bijv een workstation is dit meestal wel noodzakelijk...
Dennisb1
@bommel7 juli 2021 10:29
Behalve als je wil printen? Op een DC is er natuurlijk geen enkele noodzaak voor een print spooler maar op bijv een workstation is dit meestal wel noodzakelijk...
Dat is incorrect. Op een DC is de print spooler wel degelijk van belang in een domein. Helaas wordt dit veelal vergeten.
On a domain controller, the installation of the DC role adds a thread to the spooler service that is responsible for performing print pruning – removing the stale print queue objects from the Active Directory. If the spooler service is not running on at least one DC in each site, then the AD has no means to remove old queues that no longer exist
Bron: https://docs.microsoft.co...dows-server#print-spooler

[Reactie gewijzigd door Dennisb1 op 7 juli 2021 10:31]

GekkePrutser
@bommel7 juli 2021 10:13
Ja maar de patch komt er nu toch aan. Dus het gaat er eigenlijk alleen om of je vandaag iets wil printen. Ik heb hier ook een printer maar ik print absoluut niet elke dag. Of welke maand zelfs. Het is niet bedoeld als permanente oplossing.

[Reactie gewijzigd door GekkePrutser op 7 juli 2021 10:14]

bommel
@GekkePrutser7 juli 2021 10:17
Zoals al in de artikel tekst staat: Tegelijkertijd merkt securityonderzoeker Hacker Fantastic op dat het ondanks de patch nog steeds mogelijk is een local privilege escalation uit te voeren.

Als tweaker kun je natuurlijk de spooler service tijdelijk stoppen maar voor bij gebruikers zou ik de GPO zetten.

[Reactie gewijzigd door bommel op 7 juli 2021 10:18]

GekkePrutser
@bommel7 juli 2021 10:20
Ja maar dan moet je dus wel Windows 10 Pro hebben, bij home kan dat niet (of je moet het via het registry doen). En een definitieve patch komt er ook aan, heb ik begrepen. En de meeste mensen die op een home PC werken, zitten al op een admin account (en thuisgebruikers op pro eigenlijk ook)

PS: Als je die client connections op disabled zet, ben je ook nog steeds vatbaar voor de local exploit.

[Reactie gewijzigd door GekkePrutser op 7 juli 2021 10:23]

Alfa1970
@GekkePrutser7 juli 2021 11:10
Ja, nou heb ik thuis maar 1 PC dus voor die local exploit zou iemand fysiek toegang tot die computer moeten hebben. In dat geval is er een heel ander probleem aan de hand dat veel groter is dan iemand die eventueel iets zou kunnen uitvoeren.
Die iemand gaat ook een probleem hebben, hij zal midden op straat wakker worden en het zal een poosje heel problematisch voor hem zijn om te lopen en om zijn armen te gebruiken..
bommel
@Alfa19707 juli 2021 11:18
Dat hoeft natuurlijk niet fysiek te zijn, kan bijvoorbeeld via een andere vulnerability een process op je pc starten en dan via deze exploit elevaten naar system
Alfa1970
@bommel7 juli 2021 11:34
Tja, dus ze gaan al die moeite doen om op mijn PC te komen en dan gaan ze als ze eenmaal volledige toegang hebben nog proberen om die exploit af te trappen?
Je moet wel realistisch blijven natuurlijk. Als ze al met exploits op mijn PC zouden kunnen komen (hetgeen onrealistisch is want ik laat geen netwerk verkeer van buiten toe, maar goed, stel dat) dan gaan zie niet meer moeite doen dan absoluut noodzakelijk is.
bommel
@Alfa19707 juli 2021 11:36
Het is niet zo dat er iemand specifiek bezig is jouw pc te hacken hè... Dit soort exploits laat je in het groot los
Alfa1970
@bommel7 juli 2021 15:43
Ook in dat geval ga je deze niet inzetten.
Als je de externe factor hebt afgevangen moet er toegang verkregen worden tot het systeem om de exploit te kunnen gebruiken.
Maar als men die toegang al heeft verkregen dan is deze exploint niet meer nodig.
GORby
@Alfa19707 juli 2021 11:32
Jij voert een programma uit waar door een supply chain attack kwaadaardige code terechtgekomen is, en vervolgens breek je je eigen armen en benen?
Alfa1970
@GORby7 juli 2021 11:36
Ja goed hé, maar daar ging het dus niet over.
bommel
@GekkePrutser7 juli 2021 11:19
Voor (nou ja, tegen) de local privilage escalation kun je dus de Point and Print Restrictions GPO instellen

[Reactie gewijzigd door bommel op 7 juli 2021 11:34]

jeannibordelli
@GekkePrutser7 juli 2021 11:19
Via een script kan je de Group Policy Editor wel onder Windows Home installeren: https://www.majorgeeks.co...dows_10_home_edition.html
GekkePrutser
@jeannibordelli7 juli 2021 11:25
Dat is waar maar om nou thuisgebruikers aan te leren om scriptjes van vage sites te plukken is ook niet echt bevorderlijk voor de veiligheid :) zelfde met goed bedoelde .reg scriptjes trouwens.

Want volgende keer als ze weer wat lezen dan doen ze het meteen omdat ze het al kennen. Maar dan komt het misschien niet van een goede bron..

Daarom probeer ik er waar mogelijk rekening mee te houden met wat er al op staat.

Voor Tweakers is het wel een prima optie idd.

[Reactie gewijzigd door GekkePrutser op 7 juli 2021 11:26]

GeroldM
@GekkePrutser7 juli 2021 18:43
Majorgeeks.com een vage site?!?

Sinds wanneer?
Ayiko
@GeroldM9 juli 2021 10:27
Voor thuisgebruikers zegt majorgeeks.com hetzelfde als dfsgdsfg.cn, het is een onderstreept en/of gekleurd stuk tekst met rare tekens in waarop je kan klikken. Als je gebruikers nu leert om daarop te klikken en maar te installeren, dan moet je niet verwonderd zijn als ze hetzelfde doen wanneer die Nigeriaanse prins mailt of die mevrouw van Microsoft belt.
Terrestrial
@jeannibordelli7 juli 2021 12:01
Dan kun je beter je home versie updaten naar een pro versie wat ook kinderlijk simpel is en waar je de activatie niet door verliest.
Mangu429
@Terrestrial7 juli 2021 13:31
Dan kun je beter je home versie updaten naar een pro versie wat ook kinderlijk simpel is en waar je de activatie niet door verliest.
Goh, een upgrade van Home naar Pro is tegenwoordig gratis?
Terrestrial
@Mangu4297 juli 2021 14:37
Wel als je weet wat je doet ;-)
ydderf21
@Terrestrial7 juli 2021 16:24
Ooh en hoe dan wel?
R4gnax
@GekkePrutser7 juli 2021 13:10
Je kan ook gewoon de service disablen :) Hoeft niet via een GPO. Mensen met Windows home kunnen dat zo ook niet doen. Want dat heeft geen group policy editor.
Dat nekt ook zeker de mogelijkheid om vanuit je thuisnetwerk een netwerkprinter te benaderen.

Maar ik dacht dat Allow Print Spooler to accept client connections uitzetten anders werkt, en alleen netwerk-connecties van andere systemen richting het jouwe, uitschakelt. Dwz je kunt nog wel zelf je lokale spooler gebruiken om naar een netwerk-printer te verbinden.

(Straks eens uitproberen of ik het bij het rechte eind heb daarmee.)

Verder heb je hier geen group policies voor nodig. De settings in kwestie zijn natuurlijk ook direct via registry keys te benaderen. (Waarom MS deze niet voor Home gebruikers in een informatie-artikel publiceert in dit geval? Geen idee, eigenlijk.)

[Reactie gewijzigd door R4gnax op 7 juli 2021 13:14]

R4gnax
@R4gnax12 juli 2021 20:19
Toevoeging voor wie het zich nog afvraagt:
De Allow Print Spooler to accept client connections group policy uitzetten laat inderdaad nog steeds toe dat de print spooler op de lokale machine wel contact kan krijgen met printers die direct op het (thuis)netwerk hangen - en stopt dus inderdaad enkel de toegang tot de print spooler op de lokale machine voor andere client systemen.

Getest in een aantal thuisnetwerksituaties.
mischaatje2
@GekkePrutser7 juli 2021 14:34
Mijn oude laptop kreeg toendertijd een gratis upgrade van 7 naar 10 Home en niet 10 Pro. Je mist gpedit.msc toch wel een beetje. Heb het toen meteen uitgezocht. Je kan met behulp van een scriptje de group policy editor gewoon aanzetten in Home. De bestanden staan er standaard op, de enige reden dat het niet werkt is omdat er register entries weg zijn gelaten in de Home editie.


Edit: Het script dat @jeannibordelli heeft gelinkt is te vertrouwen.
DoubleYouPee
@bommel7 juli 2021 10:34
Of gewoon de patch installeren, lijkt me?
R4gnax
@DoubleYouPee7 juli 2021 13:15
Of gewoon de patch installeren, lijkt me?
Met de patch geinstalleerd is alleen het remote gat klaarblijkelijk gedicht.
Lokaal kan het nog steeds misbruikt worden voor privilege escalation, tenzij je ook wat registry settings (al dan niet via group policies) aanpast.
woopdiedoo
@bommel7 juli 2021 10:46
Maar shipt Windows niet gewoon met een firewall? Accepteert deze standaard bepaalde inkomende verbindingen? Lijkt me geen goede standaard configuratie voor Windows Home.
hackerhater
@woopdiedoo7 juli 2021 11:09
De firewall zit er op zich wel op. Alleen staat er dus default 101 uitzonderingen in voor Microsofts eigen services.
Username3457829
@bommel7 juli 2021 22:05
Ik heb zelf geen printer en ik print nooit. Geldt dit dan nog steeds? En wat als ik deze handelingen via PowerShell uitvoer dan kan ik dus nooit meer printen?
Niemand hier in de comments vermeld hoe deze 'tijdelijke' oplossing weer ongedaan dient te worden.
bommel
@Username34578297 juli 2021 23:00
Als je de print spooler stopt (en disabled) kun je inderdaad niet meer printen (tot je deze weer start), als je de 2 group policies of registry keys zet kun je lokaal gewoon printen.
robvh99
@bommel7 juli 2021 22:14
Ik snap het nut van de point and print gpo die je voorstelt niet helemaal
Volgens mij zijn de instellingen die je doet identiek aan de standaard instellingen als je deze policy niet zet.
nextware
@Fireshade7 juli 2021 09:50
Eigenlijk iedere server waarop de printspooler draait, maar als dit ook op Domain Controllers is is het risico natuurlijk nog groter. Daarnaast moet de aanvaller al (lokaal) met je netwerk verbonden zijn om dit issue uit te kunnen buiten. Dus niet de grotere bedrijven, maar ieder bedrijf dat een server heeft waarop de printspooler actief is. Vaak zie in je het MKB dat de domeincontroller ook de printserver is. Grotere bedrijven hebben vaak de printfunctionaliteit op een andere server staan dan de domeincontrollers. Daarom is het verstandig om op servers, waarop geen printers aangeboden worden, de printspooler uit te schakelen.

Particulieren zijn ook vatbaar, maar ook hierbij geldt dat men dus verbonden moet zijn met je lokale netwerk om het uit te kunnen buiten.

[Reactie gewijzigd door nextware op 7 juli 2021 09:52]

TGILLY
@nextware7 juli 2021 09:54
Dat laatste klopt niet helemaal. De noodpatch zorgt ervoor dat iemand via het netwerk de vulnerability niet kan misbruiken maar lokaal lukt het nog wel. Dus als jij straks op je thuis PC malware binnenhaalt, kan deze, zelfs na het toepassen van de noodpatch, zichzelf nog steeds local admin rechten geven (SYSTEM) via deze vulnerability.
Mangu429
@TGILLY7 juli 2021 22:33
Dat laatste klopt niet helemaal. De noodpatch zorgt ervoor dat iemand via het netwerk de vulnerability niet kan misbruiken maar lokaal lukt het nog wel. Dus als jij straks op je thuis PC malware binnenhaalt, kan deze, zelfs na het toepassen van de noodpatch, zichzelf nog steeds local admin rechten geven (SYSTEM) via deze vulnerability.
Admin rechten toe eigenen kan dan net zo goed via de malware zelf. Daar heb je deze print spooler kwetsbaarheid niet meer voor nodig.
Anoniem: 1532362
@nextware7 juli 2021 16:55
Is een server die geen printers deelt ook kwetsbaar?
Wafeltje
@Anoniem: 15323627 juli 2021 20:02
Jazeker. De print spooler service wordt standaard met windows geïnstalleerd en staat standaard aan. Op het gros van de servers kun je deze dus veilig uitschakelen, omdat er toch geen printers gedeeld worden of er vandaan geprint hoeft te worden.

Als je wel moet kunnen printen, zul je dit dus zo dicht mogelijk moeten timmeren zonder dat je er zelf al te veel hinder van hebt. Zo kun je je firewallregel zo aanpassen dat voor de printspooler service enkel verbindingen van bepaalde IP-adressen toe laat. Ook dit is geen volledige oplossing, maar samen met alle andere maatregelen wel een manier om je attackvector zo klein mogelijk te maken.
Henk Poley
@Fireshade7 juli 2021 09:54
De bug kan misbruikt worden op alle momenteel ondersteunde Windows versies (en waarschijnlijk vanaf Windows 2000).

Thuis kan je je hooguit afvragen, of als je malware op je PC hebt, je dan niet uberhaupt al verloren hebt. Terwijl dat servers nog wel vaker RPC ('op afstand aanroepen') toegang geven aan veel mensen, door printers te delen over het netwerk. Dus dan draait de (aanvals-)software niet op een de computer zelf, en is het 'scannen' tijdens het starten van die software onmogelijk. Maakt het een wat groter doel.
hackerhater
@Henk Poley7 juli 2021 11:12
Lokaal kan malware wel de bug misbruiken om zichzelf te verhogen van user-rechten tot system-level.
Mangu429
@hackerhater7 juli 2021 22:36
Een beetje malware kan dat zelf.
hackerhater
@Mangu4298 juli 2021 08:50
Alleen met een exploit (indien de user netjes met user-rechten draait)
Zoals deze spooler-bug
Dr. Cheeks
@Fireshade7 juli 2021 09:53
Volgens mij ben je alleen kwetsbaar als je computer te bereiken is door de aanvaller. Thuis, achter je NAT-router/firewall is dat niet direct het geval (alleen voor andere devices in je thuisnetwerk).
Dus het gevaar thuis is inderdaad 'een heel stuk minder' (maar niet 0).
Maar stel dat je met je laptop op een publiek WiFi netwerk zet, dan kan een andere bebruiker van dat WiFi netwerk je laptop wel bereiken (en die vertrouw je wellicht minder dan andere gebruikers op je thuisnetwerk).
En met deze noodpatch ben je alleen nog kwetsbaar voor iemand die al toegang hééft tot je computer. Wat effectief betekent: software die al draait op je computer kan nog steeds 'admin access' verkrijgen door de 'lokale kwetsbaarheid' uit te buiten.
Dit is wat ik ervan begrijp, tenminste :)
hackerhater
@Dr. Cheeks7 juli 2021 11:13
Aka elke macro in een office bestand kan dit misbruiken om zichzelf beheerders-rechten te geven.........
mjtdevries
@hackerhater7 juli 2021 18:00
De tijd dat macros standaard uitgevoerd werden ligt echter al jaren achter ons. Dus ja, een macro kan proberen het te gebruiken, maar de kans dat dat slaagt is vrij klein.
zalazar
@Fireshade7 juli 2021 10:35
Als je deze video bekijkt dan zie je ook waarom dit niet alleen voor domain controllers het geval is.
https://www.youtube.com/watch?v=Y1mh4SjAV8M
Middels de exploit kun je volledige rechten op de betreffende computer krijgen omdat de print spooler onder Local SYSTEM draait.

[Reactie gewijzigd door zalazar op 7 juli 2021 10:40]

Fireshade
@zalazar8 juli 2021 01:43
Dank voor de video.
Maar daarin zegt de man dat de aanvaller een username en password nodig heeft. Dat is al een flinke horde. Als je een beetje deftige password hebt, lukt zo een aanval praktisch niet. Correct me, if I'm wrong.
zalazar
@Fireshade8 juli 2021 14:55
Ja dat zag ik ook maar die username/password combinatie betreft waarschijnlijk elke user die door het systeem geauthenticeerd kan worden en valt onder "Authenticated Users". Als de server lid is van het domein dan kan dat elke willekeurige domein user zijn.
Yoshi
@Fireshade7 juli 2021 09:49
Klopt, als het goed is hebben die al maatregelen genomen
Dylan_R
7 juli 2021 10:26
Ben allang blij dat mijn baas zo makkelijk is met dit soort dingen.

'Ja helaas dan printen ze een paar dagen maar niet. Is goed voor natuur.'
paradoxdesign
7 juli 2021 09:30
De link naar de 1809 patch is wel heel vrijblijvend :)
Postman
@paradoxdesign7 juli 2021 09:38
Die bedoel je: https://support.microsoft...08-4abe-8986-8bd3a4201c5d
Tinus Streuvink
7 juli 2021 14:52
Als niet IT-er vind ik dit wel ingewikkeld met al die versies.
Ik kon thuis op mijn netwerkje bij één computer de printspooler uitzetten met dit advies:

Eluminate
@verdroidnogaan2 • 2 juli 2021 13:24 • Rapporteer
Als je toch wilt kunnen blijven printen stel ik inderdaad deze optie voor.

Run (Windows-R)
gpedit.msc
In het menu aan de linkerkant ga achtereenvolgens naar:
Computer Configuration
-> Administrative Templates
--> Printers
Dubbelklik op "Allow Print Spooler to accept client connections".
Klik linksbovenin op "Disabled" en daarna op Apply/OK.

Zoals @mutsje hieronder aangeeft, eventjes de spooler service opnieuw starten naderhand.
Start
typ: "cmd", rechtermuisklik -> Run as administrator
net stop spooler; net start spooler

maar op 2 computers kon ik gpedit.msc niet vinden. Als ik het goed begrijp zijn dat Windows homeversies.
Nu zie ik dat er windows updates te downloaden zijn. Verhelpen die automatisch het probleem? Kan ik dat dan doen voor de time being? Tot er een definitieve patch uit komt?
En moet ik die workaround die ik bij 1 computer heb toegepast dan weer terugdraaien?
Alvast bedankt.
mvrhrln
@Tinus Streuvink7 juli 2021 15:47
(Uitzetten PrintSpooler:)

Run (Windows-R)
services.msc

Zoek Print Spooler, en dubbelklik er op.
Klik op stoppen.
Zet opstarttype op uitgeschakeld, druk op OK (of Toepassen)

[Reactie gewijzigd door mvrhrln op 7 juli 2021 15:49]

R4gnax
@mvrhrln7 juli 2021 19:17
(Uitzetten PrintSpooler:)

Run (Windows-R)
services.msc

Zoek Print Spooler, en dubbelklik er op.
Klik op stoppen.
Zet opstarttype op uitgeschakeld, druk op OK (of Toepassen)
Dat schakelt de hele spooler uit en is iets wezenlijk anders dan de twee group policies juist configureren. De group policies zijn gekoppeld aan registersleutels die ook op Windows 10 Home gewoon werken. Je moet ze daar alleen met de hand juist instellen.

Volg dit diagram:
https://pbs.twimg.com/med...HB9?format=png&name=large

Dat geeft zowel de GPO als de register sleutel aan, zodat je op Home het evt. 'handmatig' kunt doen met de registry editor.

[Reactie gewijzigd door R4gnax op 7 juli 2021 19:18]

mvrhrln
@R4gnax7 juli 2021 19:18
wel veilig :)
Overigen thnx voor dat overzicht !

[Reactie gewijzigd door mvrhrln op 7 juli 2021 19:24]

R4gnax
@mvrhrln7 juli 2021 19:19
wel veilig :)
Je modem van het internet afhalen is nog veiliger.
Maar wel een beetje dysfunctioneel. Begrijp je?
mvrhrln
@R4gnax7 juli 2021 19:39
_/-\o_
dlocorotondo
7 juli 2021 09:48
Goed dat ze ermee bezig zijn. Ik lees op de release notes dat:
Jul 6, 2021 Updates are not yet available for Windows 10 version 1607, Windows Server 2016, or Windows Server 2012. Security updates for these versions of Windows will be released soon. Other information has been updated as well. This information will be updated when more information or updates are available.
https://msrc.microsoft.co...nerability/CVE-2021-34527

Dit heeft betrekking tot de final (werkende) patch. De vorige "halve"patch zijn wel voor de bovenstaande versies beschikbaar.

[Reactie gewijzigd door dlocorotondo op 7 juli 2021 09:49]

CuBras
7 juli 2021 09:51
Ben ik de enige die het vervelend vindt dat er verschillende versies van dezelfde Windows server in omloop is?
Dit komt de uniformiteit niet ten goede en dat zie je nu dus ook terug in patches.
LightYears
7 juli 2021 09:58
en Windows 11?
_Thanatos_
@LightYears7 juli 2021 10:19
Die is nog niet uit.
Mangu429
@_Thanatos_7 juli 2021 13:33
En de beta van Windows 11? (zo beter?)
_Thanatos_
@Mangu4298 juli 2021 16:08
Dat is een beta, dus als die uit komt, zal ie wel kant-en-klaar gepatched zijn (als je dat patchen kunt noemen).

Een beta gebruiken is altijd een risico, ook op gebied van veiligheid.
RobbyTown
@LightYears9 juli 2021 09:16
downloads: Windows 11 Insider Preview 22000.65

Gefixt!
We fixed a remote code execution exploit in the Windows Print Spooler service, known as “PrintNightmare”, as documented in . For more information, see .
@_Thanatos_ inderdaad goed ingeschat dat die gefixt/gepatched is ;).
GekkePrutser
7 juli 2021 10:06
Net op tijd. Bij ons stonden we op het punt om alle print servers down te gooien. Ook die waar belangrijke processen van afhankelijk waren. Juist nu met alle cyberaanvallen was het een behoorlijk risico.

Nu nog snel die patch uitrollen natuurlijk :)

[Reactie gewijzigd door GekkePrutser op 7 juli 2021 10:06]

bartje
7 juli 2021 10:13
"Er zijn momenteel nog geen patches voor Windows 10 1607 of voor Windows Server 2016 en 2021. Die volgen later nog"
Maar wel voor win 2008 en win 7.

dat is redelijk opvallend ondat deze laatste niet meer actief ondersteund worden.
daarnaast lijkt het me vreemd dat wanneer je een fix voor win 2019 hebt deze niet eenvoudig aan te passen is voor 2016 of 2021
elmariachi
@bartje7 juli 2021 10:21
Windows server 2021 bestaat trouwens niet bij mijn weten. Zal een typo zijn vermoed ik.
bartje
@elmariachi7 juli 2021 10:24
als daar 2019 zou moeten staan verklaart dat meer,
ik dacht dat er misschien een alfa release beschikbaar was waarvan in het nieuwsbericht gemist had.
elmariachi
@bartje7 juli 2021 11:27
Volgende Windows Server is de 2022.
nieuws: Microsoft maakt details over Windows Server 2022-preview bekend
Er kan al mee gespeeld worden: https://www.microsoft.com...ndows-server-2022-preview
downtime
@elmariachi7 juli 2021 10:51
Ja, ik twijfelde ook, dacht even dat WS2021 misschien de servereditie van W11 was. Maar er zal inderdaad wel WS2019 bedoeld worden.
Henk Poley
@bartje7 juli 2021 11:17
Bij de Windows 7 patch staat wel:
You must have installed the "Extended Security Updates (ESU) Licensing Preparation Package"
Die ga je zeg maar thuis op je 'historische games' PCtje niet kunnen installeren. Maar dit gaat dus zeker wel om een ondersteunde versie van Windows 7.
Niekleair
@Henk Poley7 juli 2021 17:35
Maar op je historische games PC heb je waarschijnlijk weer de printspooler niet nodig dus kun je die gewoon uitzetten.

Ik weet nog wel een paar bedrijven die bepaalde systemen op Windows 7 hebben draaien omdat de leverancier van een zeer specifiek systeem de certificering voor Win10 nog niet afgerond heeft. Maar in dat geval hebbenze inderdaad de ESU packages.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee