Ondanks de talloze pogingen van Microsoft om PrintNightmare met succes te patchen, is het nog steeds niet voorbij. Nu is er nog een Windows 10 PrintNightmare Print Spooler-kwetsbaarheid ontdekt, en het is het aantrekken van ransomware aanvallers die op zoek zijn naar gemakkelijke toegang tot systeemrechten.
Microsoft heeft in juli en augustus meerdere patches uitgebracht om de kwetsbaarheid aan te pakken en het proces aangepast waarmee gebruikers nieuwe printerstuurprogramma’s. Onderzoekers hebben echter nog steeds een oplossing gevonden om een aanval uit te voeren via een nieuwere Print Spooler-kwetsbaarheid, genaamd CVE-2021-36958.
Van een bericht in het Microsoft Security Response Center, Microsoft beschrijft het beveiligingslek:”Er bestaat een kwetsbaarheid voor het uitvoeren van externe code wanneer de Windows Print Spooler-service op onjuiste wijze geprivilegieerde bestandsbewerkingen uitvoert. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan willekeurige code uitvoeren met SYSTEEM-rechten. Een aanvaller zou dan programma’s kunnen installeren; gegevens inzien, wijzigen of verwijderen; of maak nieuwe accounts met volledige gebruikersrechten.”
Microsoft vermeldt ook de tijdelijke oplossing voor het beveiligingslek als “stoppen en uitschakelen van de Print Spooler-service.” De aanvaller heeft beheerdersrechten nodig om de benodigde printerstuurprogramma’s te installeren; als er al een stuurprogramma is geïnstalleerd, zijn dergelijke rechten echter niet nodig om een printer aan te sluiten. Bovendien hoeven stuurprogramma’s op clients niet te worden geïnstalleerd, dus de kwetsbaarheid blijft kwetsbaar in alle gevallen waarin een gebruiker verbinding maakt met een externe printer.
Ransomware-aanvallers maken natuurlijk volledig gebruik van de exploits, volgens Bleeping Computer. Magniber, een ransomware-groep, werd onlangs gerapporteerd door CrowdStrike als ontdekt in een poging om de niet-gepatchte kwetsbaarheden tegen Zuid-Koreaanse slachtoffers te misbruiken.
Er is nog geen bericht-van Microsoft of elders-over de vraag of de PrintNightmare-kwetsbaarheid überhaupt in de hand is. CrowdStrike schat dat de PrintNightmare-kwetsbaarheid in combinatie met de inzet van ransomware zal waarschijnlijk nog steeds worden uitgebuit door andere bedreigingsactoren.”
via Windows Central