Microsoft waarschuwt voor nieuwe kwetsbaarheid in printsysteem Windows 10

Microsoft waarschuwt opnieuw voor een kwetsbaarheid in de Windows print spooler-service. Ditmaal gaat het om een privilege escalation flaw waarmee aanvallers dus code kunnen uitvoeren met rechten op systeemniveau.

Microsoft zegt dat het aan een patch werkt voor de kwetsbaarheid, maar geeft nog geen indicatie van wanneer deze uit moet komen. Ook is er geen indicatie van welke versies van Windows 10 kwetsbaar zijn. In de tussentijd is er alleen een workaround beschikbaar. Die komt neer op het stoppen van de Print Spooler service via een PowerShell-commando. Dit maakt het wel onmogelijk om te printen.

De kwetsbaarheid heeft aanduiding CVE-2021-34481 gekregen, met een CVSS-score van 7,8. "Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan willekeurige code uitvoeren met systeemrechten. De aanvaller zou dan programma's kunnen installeren, gegevens inzien, wijzigen of verwijderen of nieuwe accounts aanmaken met volledige gebruikersrechten. De aanvaller moet de mogelijkheid hebben om code uit te voeren op een slachtoffersysteem om dit beveiligingslek te kunnen misbruiken."

Het is de derde aan printen gerelateerde kwetsbaarheid in Windows die aan het licht komt in de afgelopen vijf weken, somt Ars Technica op. De security-onderzoeker die de kwetsbaarheid meldde bij Microsoft, Jacob Baines, zegt tegen Ars dat hij de situatie opvallend vindt. Hij meldde de kwestie bij Microsoft in juni en gaf een deadline van 7 augustus om met een oplossing te komen. Volgens hem is het gebruikelijk dat het moment van public disclosure of het moment van patch-uitgave gebruikt wordt als aanleiding om een advisory te publiceren. Waarom dat dan op dit moment gebeurt, is niet duidelijk. "Misschien hebben ze de details over de kwetsbaarheid elders gezien, maar ik zelf niet."

Door Mark Hendrikman

Redacteur

17-07-2021 • 10:33

92 Linkedin

Reacties (92)

Wijzig sortering
Telkens vind ik die kwetsbaarheidverhalen dikke onzin. Dat is hetzelfde of ik zet op Facebook dat het slot van mijn deur stuk is en iedereen kan zomaar binnen lopen en alles weghalen en in de toekomst zal er een nieuw slot in gestoken worden.. Zwijg erover en duw er onmiddellijk een nieuw slot in.
Dit is meer een bericht in de trend van: Je slot is brak, een nieuw slot is onderweg, maar doe ondertussen de knip op de deur, zodat je buurman niet binnen kan komen voordat het nieuwe slot aangekomen is.
Want jij leest het pas op Facebook, maar degene die heeft ontdekt dat het slot brak is, kan het ondertussen al gedeeld hebben in een besloten Telegram groep, waar jouw buurman misschien ook lid van is.
De aanvaller moet de mogelijkheid hebben om code uit te voeren op een slachtoffersysteem om dit beveiligingslek te kunnen misbruiken."
Wat betekent dit nu precies? Dat iemand al fysiek bij een computer kan en al een account (met rechten) heeft "om code" uit te voeren (zijn dat dan admin rechten/wat is precies code uitvoeren: alle software is toch puur code?)

Wat is dat nog het (extra) gevaar/probleem?
Fysiek erbij kunnen is niet nodig, ook remote kan het uitgevoerd worden:
An attacker must have the ability to execute code on a victim system to exploit this vulnerability.
Ze moeten dus al (via bijvoorbeeld een andere vulnerability, een backdoor etc) toegang hebben tot het systeem.
The vulnerable component is not bound to the network stack and the attacker’s path is via read/write/execute capabilities. Either: the attacker exploits the vulnerability by accessing the target system locally (e.g., keyboard, console), or remotely (e.g., SSH); or the attacker relies on User Interaction by another person to perform actions required to exploit the vulnerability (e.g., tricking a legitimate user into opening a malicious document)
Staat gewoon in de CVE: https://msrc.microsoft.co...nerability/CVE-2021-34481
Het lijkt wat dat betreft dus een stuk minder erg dan PrintNightmare.
Er zit nog een ander issue in de Printer Spooler, waarbij een gewone gebruiker of een stuk software dat je draait op je computer, als die ook een server aan het netwerk (bijv. het internet) kan hangen, SYSTEM kan krijgen: https://twitter.com/gentilkiwi/status/1416190284216557570

Dat is met RestrictDriverInstallationToAdministrators=1, NoWarningNoElevationOnInstall=0 en UpdatePromptSettings=0. Standaard configuratie met de meest recent update dus. https://twitter.com/gentilkiwi/status/1416079316673339392

[Reactie gewijzigd door Henk Poley op 17 juli 2021 19:30]

Dit wil zeggen dat een aanvaller eerst aan de PC van het slachtoffer moet kunnen (hetzij fysiek, hetzij remote) om een stukje code uit te kunnen voeren.
Met dat stukje code word er aan privilege escalation gedaan naar een system account. Een "system account" heeft meer rechten dan een Administrator account en heeft dus bijgevolg nog meer kans op destructieve gevolgen.

//EDIT:
The system account and the administrator account (Administrators group) have the same file privileges, but they have different functions. The system account is used by the operating system and by services that run under Windows. There are many services and processes within Windows that need the capability to log on internally (for example during a Windows installation). The system account was designed for that purpose; it is an internal account, does not show up in User Manager, cannot be added to any groups, and cannot have user rights assigned to it. On the other hand, the system account does show up on an NTFS volume in File Manager in the Permissions portion of the Security menu. By default, the system account is granted full control to all files on an NTFS volume. Here the system account has the same functional privileges as the administrator account.

[Reactie gewijzigd door CFke op 17 juli 2021 11:07]

Theoretisch zou dit dus al met een stukje Java code op een website kunnen.

Het kan dan al genoeg zijn om een gebruiker zonder admin rechten naar een website te lokken daar de dan juiste code te draaien die op de achtergrond ransomware / een RAT download en installeert onder admin rechten. Waardoor de aanvaller admins is op jou computer.

(Edit tekst verduidelijkt)

[Reactie gewijzigd door xbeam op 17 juli 2021 12:12]

Theoretisch zou dus al met stukje Java code op een website kunnen.
Java applets zijn al jaren niet meer ondersteund in browsers en ook de JVM levert er domweg geen browser-API meer voor. Als je er een hebt waar het nog in zit, heb je waarschijnlijk ook geen Windows 10 ;)

Als je Javascript bedoeld. Het is natuurlijk in theorie mogelijk dat er een 'remote code execution' bug in een van de browsers zit. In dat geval zou je deze of een soortgelijke exploit kunnen gebruiken om dan met admin-rechten code uit te voeren.

Maar de kans dat men domweg door je een website te laten bezoeken dit scenario kan veroorzaken is heel erg klein. Browser-makers zitten tenslotte ook bovenop dergelijke beveiligingsissues.

Althans... tenzij je natuurlijk iemand bent die geen zin heeft om al die updates te (laten) installeren...
Maar de kans dat men domweg door je een website te laten bezoeken dit scenario kan veroorzaken is heel erg klein. Browser-makers zitten tenslotte ook bovenop dergelijke beveiligingsissues.

Althans... tenzij je natuurlijk iemand bent die geen zin heeft om al die updates te (laten) installeren...
Haha. Bij malware duurt het gemiddeld twee tot drie weken totdat deze ontdekt wordt, waarna bv malware- en virusscanners beginnen aan het aanpassen van hun signature-files. Malware kan dus gemiddeld ruim twee tot drie weken ongestoord verspreiden.
Maar malware is niet per se hetzelfde als een beveiligingsprobleem in een browser. Het is vast wel eens voorgekomen dat ze zodanig werden verspreid dat simpelweg een website bezoeken genoeg was. Maar vziw is dat heel erg zeldzaam geweest en dan alsnog vooral gericht op de oudere browsers. Ik verwacht dat de meeste malware via andere kanalen binnenkomt.
Maar malware is niet per se hetzelfde als een beveiligingsprobleem in een browser.
Klopt, maar veel malware maakt gebruik van beveiligingsgaten. Sommige daarvan worden ontdekt op een moment dat ze nog niet actief misbruikt worden, andere worden juist ontdekt doordat ze misbruikt worden, en waren dus al eerder door de malwaremakers ontdekt. En geheime diensten ontdekken ze, maar houden die onder de pet, om ze zelf te misbruiken.

Windows is altijd al een gatenkaas geweest, van W10 is lang gezegd dat het beter was, maar nu lijkt het zelfs nog erger te zijn. De vraag is hoe lang blijft men op dit tempo gaten ontdekken?
De vraag was wat de gevaren kunnen zijn.

Ik geef een theoretische omschrijving van hoe dit gevaarlijk zou kunnen zijn.

Dat een kwaadwillende beschikking heeft de juiste zero day’s en daarvoor een vulnerability chain kan maken is uiteraard klein.
en installeert onder admin rechten.
Admin-rechten zijn niet nodig. Software die deze code binnenhaalt/-brengt, is al voldoende. Die software hoeft zelf geen Admin-rechten te hebben en de exploit ook niet.
The privilege-escalation flaw, tracked as CVE-2021-34481, allows hackers who already have the ability to run malicious code with limited system rights to elevate those rights.
Nee klopt. Bedoel dat software zicht zelf installeert als services met admin rechten.
Waarom zou je dat doen als je code kan uitvoeren obv een standaard ingebouwde service? Jezelf als service installeren geeft je alleen maar meer uitdagingen omdat je jezelf dan weer moet gaan verbergen
Ik neem aan dat je remote toegang tot het het devices wil behouden?
Persoonlijk zou ik een scheduled taks maken die opdrachten gaat ophalen onder normale user rechten oid tov iets maken wat actief gaat luisteren. Maar ja, 1000e wegen naar Rome
Het gaat hier om de algemene uitleg dat iedereen die het een beetje begrijpt.

Het is voor de meeste mensen een ver van hun bed show waarvan de basis al lastig is en dan gaan frontpagina discussies om de detail (waar wij ITer’s vaan snel in belanden ) niet helpen. Om ze bij de les te houden.

Maar ik ben het zeker met eens dat betere en mooiere manieren zijn. En dat is iets voor een uit gebieder forum topic hier over.

[Reactie gewijzigd door xbeam op 17 juli 2021 14:26]

Die kans acht ik wel klein, want Java werkt niet meer embedded in een browser, en je moet Java geïnstalleerd hebben. En dat neemt tegenwoordig ook af.
een aanvaller zélf moet die privileges niet hebben, hij moet zijn code gewoon uitgevoerd krijgen door een account die die rechten heeft (bvb meeste eerst aangemaakte users op een OS hebben administrator-privilieges)
Juist ja, als je die toegang al hebt, dan kun je nog veel meer problemen veroorzaken.
Nee als jij bijvoorbeeld in een groot bedrijf het wachtwoord van de schoonmakers kunt raden kun je met een bug als dit gemakkelijk op het account van de directeur

Terwijl je zelf ook wel begrijpt dat wr bij verschillende lagen ook verschillende vormen van controle is de schoonmaakster hoeft immers nergens toegang tot te hebben
Wat @SuperDre lijkt te bedoelen is dat een crimineel met fysieke toegang tot een netwerk niet zomaar meer nodig heeft zoals dit beveiligings-lek.

Je stelt terecht dat het dan ook nog af zal hangen van andere beveiliging. Maar die is niet zomaar aanwezig.

Daarom is het hoe dan ook belangrijk om af te vragen hoe die cvss score van Microsoft tot stand is gekomen. Om in te schatten wat dat voor je eigen netwerk voor betekenis heeft. Wat voor het ene mogelijke slachtoffer een 7.8 is kan voor een ander een 9 zijn. Bijvoorbeeld omdat je dacht dat scheiden van rechten genoeg was om uitzendkrachten vanaf thuis toegang tot je netwerk te geven. Of de schoonmaker zonder toezicht bij netwerkpoorten te laten komen.
Je kan ook op afstand code uitvoeren, bv onder de rechten van de gebruiker, daarna misbruik je dit en heb je system rechten.
Je kunt ook lokaal code uitvoeren door een handig tooltje te maken

Mensen downloaden het voeren het expliciet uit onder userrechten en plop daar draait ineens iets onder het sytem account

En zonder uac
Niet perse fysiek, maar wel al toegang tot het systeem. Je kunt dan vanuit een normale user-context deze bug gebruiken om elevated permissies te krijgen.
Het houd in dat er vanaf gebruikers permissies (gebruiker of aanvaller voert iets met gebruiker permissies) hierdoor kan escaleren naar systeem (hoger dan lokale admin) permissies zonder tussenkomst van authenticatie of autorisatie.
Ze kunnen dus als admin iets uitvoeren op je systeem zonder dat ze initieel admin waren. Virus/malware/RAT/etc.

Privilege escelation houd in dat ze hun huidige rechten kunnen ophogen door misbruik te maken van een kwetsbaarheid in de code van software die draait op de machine. Waardoor ze vervolgens de zelfde rechten krijgen als de applicatie die ze uitbuiten. Gezien dat in dit geval gaat om de printer spooler. Hebben ze de zelfde rechten als de print spooler welke draait als system.

[Reactie gewijzigd door ReTechNL op 17 juli 2021 11:12]

Het betekent dat Microsoft een verschil maakt tussen een persoon en een account.
Een persoon die kwaad wil kan een account (van zichzelf of van een ander) proberen te gebruiken om met deze kwetsbaarheid meer rechten te krijgen. Als die persoon dus gebruik wil maken van een account van een ander dan moet deze eerst toegang krijgen tot dat account. Microsoft maakt geen verschil waar iemand dan moet zijn, het kan dus net zo goed een persoon zijn die via een botnet toegang tot een account heeft.
dat je voorbereid moet zijn op phishing aanvallen
Na de recente kwetsbaarheden kijkt natuurlijk de hele security community -inclusief Microsoft - naar de spooler service en de bijhorende code. Op die manier is het positief te noemen dat er ook foutjes gevonden en opgelost worden.
Wat betreft de print spooler zelf is het niet helemaal onlogisch dat die component gevoelig is. Door opeenvolgende verbeteringen is het hele printing subsystem van volledig kernel mode naar 99% usermode geëvolueerd. Gaandeweg zijn er allerelid compatibileitsfixes nodig geweest - om bijvoorbeeld printen over parallelle poort te blijven ondersteunen. Simpel gesteld is nog steeds een deel van de code zuiver nt4, al zijn er serieuze verbeteringen gekomen in 2003/2008/2012.
Windows 10 is niet per se het enige OS, in de CVE staat dat de versies die het lek mogelijk hebben nog worden uitgezocht.
Kan me zo voorstellen dat Server 2016/2019 ook een issue heeft, gezien dezelfde kernel...
Wel jammer van Tweakers dat dit nieuws gistermorgen al bekend was. Het is de laatste tijd wel vaak dat berichten op Tweakers pas laat worden geplaatst.
Dus als ik het goed begrijp zorgt het ervoor dat je niet meer extra op ok hoeft te klikken? 😉🙂
‘… workaround beschikbaar. Die komt neer op het stoppen van de Print Spooler service via een PowerShell-commando. Dit maakt het wel onmogelijk om te printen. …’
Mooie workaround 😂
Past ook mooi in de klimaatdoelstellingen.. Geen bomenkap meer voor papier.
Maar niet in een inclusieve samenleving. Ik vind het als autist veel minder overprikkelend om vergaderstukken op papier te lezen, dan van een scherm.
Ja een erg goed argument hahaha...
Een workaround die ik toch heb toegepast op al mijn toestellen. De laatste keer dat ik nog een blad papier heb afgedrukt kan ik me niet meer herinneren. Ik heb nog een stokoude HP Laserjet 4 - een printer uit 1992 - staan voor die gekke bedrijven dat nog papier verplichten om een contract te tekenen of iets op te zeggen.

Ik kan me gerust inbeelden dat er veel mensen zijn die gewoon niet hoeven te printen. Natuurlijk dit type lectuur is typisch voor IT beheerder en in bedrijven kan men vaak niet zomaar even de print spooler uit gaan zetten.
Weer zo'n 'grappige' reactie van een stuurman aan de wal die denkt het beter te weten dan de mensen bij MS.

Op het merendeel van je servers hoef je helemaal nooit te printen. Als je het lek goed begrijpt dan weet je dat een hacker hiermee zelfs accounts kan aanmaken.

Stel je voor dat op deze wijze een hacker toegang krijgt tot een domain controller, dan kan de hacker dus een domain admin account aanmaken en krijgt daarmee volledige toegang tot al je domain members.

Het advies is dus om de print spooler te disablen op alle servers (en zeker op domain controllers) behalve op print servers. Op workstations hoeft dit niet, maar is er een andere workaround om te voorkomen dat hackers makkelijk de kwetsbaarheid kunnen gebruiken.
De vraag is dus, als het merendeel niet hoeft te printen, waarom wordt er dan standaard een print spoofer service geinstalleerd?
Terechte vraag. Het zou mij ook niet verbazen als MS dat in toekomstige versies van Windows server standaard niet installeert (of alleen niet op DCs)

Aan de andere kant, moet men dan elke service standaard uit zetten? Er zullen in andere services ook wel lekken gevonden worden denk ik zo...
MS waarschuwt voor deze lek in Windows 10. Is deze kwetsbaarheid niet van toepassing op oudere nog ondersteunde Windows versies dan 10?
Oh MS, please never change.... lol
Waarom maakt Microsoft zo publiekelijk kenbaar dat dit een lek is, en dat ze hier nog geen oplossing voor hebben?

Deze 2 berichten trekken dan toch allerlei kwaadaardige hackers over de hele wereld aan?
Omdar er een workaround is Print je niet, volg dan de workaround instructies.
Waarschijnlijk omdat ze vermoeden dat het lek misbruikt gaat worden voordat ze een patch hebben.

De security-onderzoeker die het had gevonden heeft zelf nog geen berichten over dit lek gezien, maar Microsoft misschien al wel. Of misschien zit dit lek, na het vorige lek dat is gefixt, op zo'n logische plek om naar andere vergelijkbare lekken, dat Microsoft het zeer waarschijnlijk acht dat anderen op dezelfde plek zijn gaan zoeken en het lek hebben gevonden.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee