Microsoft waarschuwt voor nieuwe kwetsbaarheid in Windows Print Spooler-functie

Microsoft waarschuwt opnieuw voor een nieuwe kwetsbaarheid in de Windows Print Spooler-functie. Via de kwetsbaarheid kan een aanvaller code uitvoeren met adminrechten op een systeem. Het bedrijf raadt in een workaround aan om de Spooler-functie uit te schakelen.

De kwetsbaarheid duikt op wanneer er verbinding wordt gemaakt met een printserver. Deze printserver kan een dll-bestand kopiëren naar de client, dat vervolgens een system level command prompt opent waarop code kan uitgevoerd worden. De kwetsbaarheid heeft aanduiding CVE-2021-36958 gekregen en heeft een CVSS-score van 6,8. "Een aanvaller die deze kwetsbaarheid succesvol uitbuit, kan code uitvoeren met system-privileges", aldus Microsoft. "Een aanvaller kan programma’s installeren, data wijzigen en nieuwe accounts aanmaken met alle toegangsrechten tot het systeem."

Microsoft erkent de kwetsbaarheid, maar heeft nog geen patch uitgebracht. Het bedrijf publiceerde een workaround waarin het oppert om de Print Spooler-service stop te zetten. Datzelfde advies gaf Microsoft eerder al in afwachting van patches voor kwetsbaarheden genaamd PrintNightmare die werden ontdekt in de Print Spooler-service enkele weken geleden.

In de afgelopen weken ontdekte Microsoft diverse kwetsbaarheden in de Windows Print Spooler-service die actief misbruikt werden. Een eerste noodpatch die Microsoft begin juli uitbracht, moest de reeks bugs in de Print Spooler-functie oplossen. Deze bleek echter niet voldoende te zijn om een local privilege escalation op het systeem te verhinderen. Een tweede patch veranderde vervolgens de manier waarop printerdrivers op Windows geïnstalleerd kunnen worden. Dat zal vanaf nu alleen door systeembeheerders kunnen gebeuren.

Door Jay Stout

Redacteur

12-08-2021 • 13:08

104 Linkedin

Reacties (104)

104
100
32
4
0
57
Wijzig sortering
Het lijkt tijd te worden om de printspooler van de grond af opnieuw op te gaan bouwen. Probleem alleen is legacy support voor al die oude wazige printers
Probleem alleen is legacy support voor al die oude wazige printers
Dat is al geen probleem meer, want fabrikanten zoals HP doen al aardig hun best om die ondersteuning zelf uit hun drivers te slopen.

Windows kan natuurlijk ook gewoon CUPS omarmen. Compatibiliteit zit daar wel snor, en je hebt geen DLL's om uit te voeren. :+ Mijn oude HP LaserJet 1320 werkt nog vrolijk met CUPS, maar krijgt geen Windows driverondersteuning meer.

Iets serieuzer:
De kwetsbaarheid duikt op wanneer er verbinding wordt gemaakt met een printserver. Deze printserver kan een dll-bestand kopiëren naar de client, dat vervolgens een system level command prompt opent waarop code kan uitgevoerd worden.
Dus in Windows de mogelijkheid om van printserver drivers te accepteren uitschakelen en het zou geen probleem meer moeten zijn, toch?

[Reactie gewijzigd door The Zep Man op 12 augustus 2021 13:18]

Dat is inderdaad een goede benadering. Maar je geeft het probleem zelf heel goed aan: fabrikanten zo als HP, maar die gaan dat echt niet voor 10 jaar oude printers doen.
Mijn laserjet 1320 doet het prima op de universele hp driver

[Reactie gewijzigd door fvdberg op 12 augustus 2021 13:20]

Het punt is dat je een systeem moet maken waarbij je niet meer afhankelijk bent van de fabrikant voor ondersteuning. Onder Linux zie je dat met veel hardware terug, die gewoon blijft werken ondanks dat de fabrikant allang de handdoek in de ring heeft geworpen.

Zeker met zaken zoals het klimaat en right to repair wordt het straks tijd om anders te kijken naar oneindige consumptie.
Mijn laserjet 1320 doet het prima op de universele hp driver
Jouw LaserJet 1320 is afhankelijk van PCL5, dat sinds een tijd niet meer ondersteund wordt in nieuwere Windows universele drivers van HP. Oudere drivers zijn een veiligheidsrisico. CUPS heeft hier geen last van.

[Reactie gewijzigd door The Zep Man op 12 augustus 2021 13:32]

Met wazige printers bedoel ik al die goedkope weggooi inktjet printers, niet de serieuze office machines, maar dat had je al door. Die weggooi rommel moeten we echt zo snel mogelijk van af. Ook vanwege Driver support.
Het wordt juist weggooi-rommel door de slechte driver-support. Is er niet per se inherent iets mee mis.
Ik zie bij oudere familie dat het vooral weggooi rommel wordt vanwege de inkt prijs.

Er wordt hoogstens eens per maand en paar pagina's geprint voor de administratie en 1 keer per jaar de belasting.

Na twee jaar is de inkt op en een nieuwe printer kost minder dan nieuwe inkt dus wordt nieuwe printer gekocht. Aangeven dat die inkt wel voor meer pagina's is helpt niet want men 'heeft niet meer pagina's nodig.'

Ik heb ze na een paar printers nu eindelijk wel aan het navullen gekregen nadat ik ze bij HP en zijn k*t beleid met chips en software locks e.d. heb weggekregen.
Mensen die weinig printen kunnen beter een laserprinter pakken... Geen inkt die uitdroogt, en veel betere support, goedkoper printen en die printer is minstens voor 10j goed. Ik heb zelf al veel mensen tevreden gemaakt met laserprinters
Heb ik gedaan, was het helemaal zat dat als ik moest printen de inkt was ingedroogd. Kosten aan inkt over de jaren was net zo hoog als een nieuwe laserprinter. Helemaal happy
Voor mij ook de reden om over te stappen op een laserprinter. Sindsdien lijk ik overigens wel meer te printen. :)

Af te toe klappen uitdelen aan de printer om te zien wie er meer onder de indruk is van de ander lijkt wel noodzaak bij deze printer overigens. :P
Dat is een goed punt, als er 1 van de printers er mee ophoudt om wat voor reden dan ook zal ik dat eens voorstellen.

Ze gebruiken sowieso geen kleuren inkt, het is steeds alleen zwart dat op is.
Oh, voor dezelfde reden zou ik nu voor een zwart/wit laser gaan...
Lang voordat ze het aantal pagina’s van de aftermarket cartridge geprint hebben blokkeert het ding zichzelf omdat hij over de houdbaarheidsdatum is die bij het eerste printje begint :+
Maar het zijn toch de drivers die firmware updates naar de printers pushen die 3rd-party cartridges bricken? Heb ten minste regelmatig een melding 'er is een update uw drivers', en vervolgens is spontaan de inkt 'op'. (Epson)
G** man krent. kan kan je niet even op het werk die paar velletjes printen die ze nodig zijn?
Sinds anderhalf jaar kom ik maximaal 1 x per maand op het werk. En als je dan net een printje nodig hebt, zoas de CPR-uitslag... Nou ja, dan maar naar de copyrette.
Het dienstmeisje heeft een vrije dag...

Ik onderhoud de computers voor de familie al, ik ben geen print service.

De canon die ze nu hebben slikt vooralsnog zonder problemen de refils. Nog geen rare issues gehad als met HP waar na een driver update een 123 inkt cartridge niet meer herkend werd.
Dit ja die persoon die 1 keer in het jaar iets uit print wil geen professionele kantoor tijger printer.
Jou 1320 ook, en via cups wordt hij ook op pcl5 aangestuurd.

[Reactie gewijzigd door fvdberg op 12 augustus 2021 13:33]

Jou 1320 ook, en via cups wordt hij ook op pcl5 aangestuurd.
Klopt. CUPS heeft wel PCL5 ondersteuning, en bugs daarin zullen dan ook opgelost worden wanneer gevonden en gerapporteerd. Voor Windows zal dat niet gebeuren.

[Reactie gewijzigd door The Zep Man op 12 augustus 2021 13:48]

Waarom zijn oude printerdrivers een veiligheidsrisico? Naar mijn weten draaien alle drivers in user mode en het is niet de taak van een driver om het systeem te beveiligen.
Omdat oude printerdrivers nog in kernel mode draaien. PCL5 is niet voor niks uit Windows gesloopt.
PCL5 heeft niets te maken met moeten draaien in kernelmode, het is gewoon een protocol waarmee de printer zijn instructies krijgt.
PCL5 is een protocol ja en HP heeft de drivers gemaakt. Die zitten in kernel mode en HP heeft er geen enkel belang bij om die oude drivers te porten naar het user model, dus verdwijnen de drivers.
Klopt, maar het is dus wel mogelijk om een universele PCL5 printerdriver te maken waarmee ook oudere PCL5 printers kunnen werken. Overigens blijven de oude drivers nog gewoon werken hoor, bij windows moet je alleen dan vaak aangeven dat die uitgebreid moet zoeken naar printerdrivers.
Welk bedrijf gebruikt er nog zulke oude printers? Kernel mode printerdrivers worden al bijna 15 jaar standaard niet meer ondersteund in Windows.
Pcl5 is alleen maar een printprotocol van hp, en de Laserjet 1320 werkt volgens mij ook met pcl 6.
Pcl5 is alleen maar een printprotocol van hp, en de Laserjet 1320 werkt volgens mij ook met pcl 6.
Heb ik ooit onderzocht. De LaserJet 1320 ondersteunt geen PCL 6. Daarom wordt die niet herkend door de nieuwste HP Universal Driver.

[Reactie gewijzigd door The Zep Man op 12 augustus 2021 21:48]

Als je op drivers zoekt voor deze printer en je kiest Windows XP als OS, dan wordt er een PCL6 driver getoond. Vandaar mijn reactie. Kan inderdaad zijn dat het alsnog niet werkt, natuurlijk.
https://support.hp.com/nl...320-printer-series/410622

Edit: volgens de spec sheet van de printer wordt PCL6 gewoon ondersteund door de hardware. Dus HP is klaarblijkelijk lui geweest door geen recente driver uit te brengen.

[Reactie gewijzigd door Ablaze op 12 augustus 2021 23:01]

juist, voor CUPS zijn nooit geen updates uitgebracht omwille van CVE's 8)7
Dat schreef ik nergens. Het onderwerp was primair compatibiliteit, niet of er wel eens kwetsbaarheden in voorkomen (wat met alle software zo is).

Verder heeft CUPS een kleiner aanvalsoppervlak omdat het minder met het OS verweven is. Dit in tegenstelling tot het printsysteem van Windows. Onder Windows draait alle code onder het SYSTEM account, vergelijkbaar met root onder Linux. Dit terwijl CUPS onder een eigen gebruikersaccount zonder rootrechten draait.

[Reactie gewijzigd door The Zep Man op 12 augustus 2021 13:26]

ah leuke toevoeging, het was me ook niet duidelijk dat het enkel een referentie was naar de legacy ;-)
CUPS is inderdaad best prima, maar soms wel een beetje nukkig in mijn (inmiddels jarenlange) ervaring. Ze zouden dan beter het moderne PAPPL kunnen gebruiken van de oorspronkelijke CUPS-ontwikkelaar: https://www.phoronix.com/...tem&px=PAPPL-1.0-Released

Misschien dat het nog niet helemaal op CUPS-niveau is, maar met Microsoft erachter zal het niet lang duren voordat het op hetzelfde niveau is.

[Reactie gewijzigd door TheVivaldi op 12 augustus 2021 16:55]

De zwakke schakel lijkt in dit geval een feature te zijn die niet goed afgebakend is (het laten installeren van drivers vanaf een printserver), niet zozeer de printspooler als geheel. Je kan dan de code wel herschrijven maar het lijken meer ontwerpfouten dan low level programmeerfouten.
Op zich een heerlijke functie. Bij vorige werkgever een nieuwe laptop en je kreeg automatisch de driver geïnstalleerd als je met de printer server verbond.

Dat hoeft niet weg op zich, Windows moet een goede beveiliging krijgen dat je default niet met servers kan verbinden en alleen met een gewhiteliste bedrijfsservers kan verbinden ma een admin actie. (En dan nog heb je talenten die overal ja op klikken, maar inmiddels hebben we wel het punt bereikt dat het voor dat soort figuren eigen schuld dikke bult is)
Het lijkt tijd te worden om de printspooler van de grond af opnieuw op te gaan bouwen.
Van de grond af is niet vaak een goed idee.
[...]

Van de grond af is niet vaak een goed idee.
Het lijkt mij af te hangen van project tot project. De voorbeelden in je aangehaalde blog gaan over complete projecten. Hier spreken we meer over een subproject van een groter geheel. Daarbovenop is het meest voorkomende probleem daarmee dat features niet compleet zijn waardoor ze doomed to fail zijn. Bij de windows printserver kan ik moeilijk zaken vinden die eigenlijk optioneel zijn. Is eigenlijk gewoon 1 grote feature. Als er al zaken zijn (denk dan bijvoorbeeld aan bepaalde instellingen) zijn die mij inziens eerder meer in gebruik bij bedrijven die 1 sowieso al wachten met de laatste windows en 2 zo'n zaken liever gradueel en apart activeren.

Dus mijn conclusie lijkt deze feature opnieuw programmeren geen slecht idee is als je het apart kan activeren. Maar daar tegenover staat dan wel weer dat die andere kwetsbaarheden kan bevatten die mogelijks gewoon erger zijn.
Hier spreken we meer over een subproject van een groter geheel.
Dat is maar net hoe je 't ziet. Alles is altijd wel ergens wel onderdeel van een groter geheel. Ik zie niet zo wat al-dan-niet "sub"project zijn er mee van doen heeft.
Dus mijn conclusie lijkt deze feature opnieuw programmeren geen slecht idee
Het is een idee. Zolang je niet in de keuken mij Microsoft kunt kijken (én inhoudelijk kennis hebt en weet waar je over praat) kun je als buitenstaander niets zinnigs zeggen over of een totale rewrite noodzakelijk is.
De vergrootglas zit dik op de print spooler na de eerste incidenten eerder dit jaar en wat waarschijnlijk nog de development bouwstenen heeft uit Windows 200 ofzo. Hoe dieper je gaat kijken, hoe meer kwetsbaarheden je waarschijnlijk zult ontdekken.
Voor wie afhankelijk is van de print spooler kan voor deze kwetsbaarheid de installaties beperken tot geautoriseerde servers.

Ga hiervoor naar de "Package Point and print - Apporved server" die je vind met "Group Policy Editor" (gpedit.msc), dan naar User Configuration -> Administrative templates -> Control panel -> Printers en Package Point and Print – Approved Servers. Daar voer je de lijst van servers in of een fake adres.

Hiermee wordt installaties van printer drivers geblokkeerd of beperkt en kan je doorprinten. Maar deze oplossing beschermt je niet voor al geinstalleerde printerdrivers die een eventuele kwestbaarheid hebben.

[Reactie gewijzigd door robertpNL op 12 augustus 2021 13:29]

Dat zou default moeten zijn met een lege lijst.
Indien Default (Not configured) staat het inderdaad uit. Indien je het inschakelt zal je bovenstaande kunnen uitvoeren om risico te verkleinen.

Bron: https://www.bleepingcompu...int-spooler-zero-day-bug/
Stop press
Will Dormann, a vulnerability analyst for CERT/CC, told BleepingComputer that Microsoft has confirmed that the CVE-2021-36958 vulnerability corresponds to a proof-of-concept shared by security researcher Benjamin Delpy on Twitter last month.

Delpy’s trick, explains BleepingComputer, uses the CopyFile registry directive to copy a DLL file, which then opens a command prompt to the client when you connect to a printer.

While Microsoft has since tweaked the permissions of the Point and Print feature to require administrative privileges, Delpy PoC will still work since it requires an already-installed driver.

In any case, Microsoft says it is now working to patch the bug. However, in the absence of a fix, Microsoft suggests the only available workaround to mitigate CVE-2021-36958 is to stop and disable the Print Spooler service.
Bron: https://www.techradar.com...reats-are-back-once-again

[Reactie gewijzigd door m.z op 12 augustus 2021 15:32]

Deze printserver kan een dll-bestand kopiëren naar de client, dat vervolgens een system level command prompt opent waarop code kan uitgevoerd worden.
Wat briljant bedacht van de architect en ontwikkelaars! Je kunt je gewoon niet voorstellen dat hier iets fout mee zou kunnen gaan.
.inf installatie bestanden zijn ooit ontwikkeld voor Windows Cairo (1991-1996). Toen dacht men nog niet veel aan beveiliging. Dus een CopyFiles opdracht om "nog wat extra benodigde bestanden" te kopiëren, dat geloof je dan gewoon. Dat soort aannames zijn natuurlijk meegenomen door de jaren heen, om alles werkend te houden.
domheid? foutje?

Hoe zou jij het aanpakken als je voor de NSA en MS backdoors moest ontwerpen?
Zolang mensen het niet als backdoor herkennen, heb je je werk toch goed gedaan?
Dan blijft de plausible deniability toch overeind?
Dan kan je wantrouwers toch als complotdenkers wegzetten?

Kan iemand me vertellen hoe een opzettelijke backdoor er uitziet?
En hoe die afwijkt van een per ongelukkige backdoor?

[Reactie gewijzigd door Elefant op 12 augustus 2021 18:32]

Achja, zo is er altijd wel wat te zeggen, vroeger kende men ook niet SQL-injection als probleem, nu weten we wel beter.
Microsoft biedt lange ondersteuning voor hardware, software en het OS, doe ze dat maar eens na. Mogelijk dat ‘verouderde’ printers in een VM geplaatst kunnen worden in kleinere omgevingen, en dan uiteindelijk de printspool flink aan pakken, patchen. Microsoft is behoorlijk groot en daarom is het geen eenvoudige klus om even op te lossen.
Again?!?
Kunnen ze niet beter heel dat ding van 0 af aan herschrijven gaan?
Of wellicht een idee om gewoon CUPS te gaan gebruiken ;)
Nouja, zo simpel is het niet, immers moet een hoop software gewoon blijven werken.
CVE-2021-26424 is anders ook een 9.9 critical patch... leuke ICMPv6 exploit...
A license to print zero days :)
Ben wel een beetje klaar met bug, op bug, op exploit, op exploit geneuzel met die print spooler functie.
Man, we blijven bezig. :+
De Patch Tuesday van afgelopen dinsdag was poging 3 (of zelfs 4?) meen ik.

Hoe kan het dat er nog steeds deze gigantische bugs in zitten?
Wie heeft hier zitten slapen aan patch-kant en QA?

(er zijn mensen voor minder ontslagen 8-) )
Of dus gewoon meer lekken vinden bij het oplossen, maar die dus pas voor een volgende update meenemen.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee