In juni heeft Microsoft een kritieke kwetsbaarheid gepatcht, CVE-2021-1675 genaamd. Door dit beveiligingslek konden hackers op afstand pc’s besturen via het Print Spooler-systeem-behoorlijk eng! Helaas hebben onderzoekers van het Chinese technologiebedrijf Sangfor een soortgelijke exploit opgezet met de naam PrintNightmare op vrije voeten nadat ze hackers had verteld hoe ze voordeel konden halen uit een voorheen onontdekte bug.
Hoe is dit gebeurd? Welnu, Sangfor bereidt zich voor op een conferentie over het printersysteem van Windows, dat altijd kwetsbaar is geweest voor hackers. Om mensen klaar te stomen voor deze conferentie, heeft Sangfor besloten om een Proof of Concept (POC) waarin wordt uitgelegd hoe de onlangs gepatchte CVE-2021-1675 werkt en welke gevaarlijke dingen je ermee kunt doen.
Maar deze onderzoekers speelden niet met CVE-2021-1675. Het bleek dat ze een soortgelijke kwetsbaarheid hadden ontdekt in de Windows Print Spooler genaamd PrintNightmare—die nu de flatterende bijnaam CVE-2021-34527 draagt. Door een POC op PrintNightmare te publiceren, leerde Sangfor hackers effectief hoe ze konden profiteren van een gevaarlijke, zero-day bug in het Windows-systeem.
Microsoft heeft CVE-2021-34527 toegewezen aan de kwetsbaarheid voor het uitvoeren van externe code die van invloed is op Windows Print Spooler. Lees hier meer informatie: https://t.co/OarPvNCX7O
— Microsoft Security Intelligence (@MsftSecIntel) 2 juli 2021
PrintNightmare heeft invloed op alle versies van Windows, volgens Microsoft. Het is een bug in de Windows Print Spooler-een gecompliceerde tool die Windows gebruikt om onder andere met printschema’s te jongleren. Hackers die misbruik maken van deze kwetsbaarheid krijgen volledige controle over een systeem, met de macht om willekeurige code uit te voeren, software te installeren en bestanden te beheren.
In een Microsoft Security Response Center post, stelt het bedrijf dat hackers moeten inloggen op een pc voordat ze de PrintNightmare-exploit kunnen uitvoeren (wat betekent dat bedrijven, bibliotheken en andere organisaties met grote netwerken de meest kwetsbaren). Microsoft zegt dat hackers PrintNightmare actief misbruiken om systemen te compromitteren, dus betrokken partijen moeten stappen ondernemen om het probleem oplossen.
Op dit moment is de enige manier om een pc te beschermen tegen PrintNightmare echter het uitschakelen van afdrukfuncties zoals de Print Spooler. Deze voorzorgsmaatregel is misschien onmogelijk in organisaties waar printnetwerken een noodzaak zijn, maar u kunt leren hoe u deze stappen kunt nemen op de Microsoft Security Response Center.
Bron: Microsoft via Bleeping Computer, Forbes
