Opnieuw lek in Print Spooler van Microsoft
Tijd om de printer weer uit te zetten. Er is een zero-day kwetsbaarheid ontdekt in Print Spooler van Microsoft. Het gaat om het tweede lek deze maand.
Na de ontdekking van een nieuwe zero-day kwetsbaarheid kunnen Microsoft-klanten, ook met patch, de Print Spooler best weer uitschakelen. Het is de tweede kwetsbaarheid in korte tijd. Eerder werd al kwetsbaarheid CVE-2021-34527 ontdekt, dat de mogelijkheid biedt malafide printdrivers op afstand of via fysieke toegang te installeren op kwetsbare systemen.
Een patch voor dat lek kwam uit in de vorm van update KB5004945. Beveiligingsonderzoekers vonden toen manieren om de patch onder bepaalde omstandigheden te omzeilen. Microsoft stelt echter dat de update naar behoren functioneert.
De extra aandacht van onderzoekers voor de Print Spooler lijkt nu echter nog meer kwetsbaarheden te hebben blootgelegd. Ontwikkelaar Benjamin Delpy zegt een nieuwe manier te hebben gevonden voor het omzeilen van de normale methode waarop Windows printdrivers installeert. Dit maakt het mogelijk rechten op te hogen via de installatie van malafide printdrivers. Het lek is ook aanwezig in systemen waarop update KB5004945 is geïnstalleerd.
In gesprek met Bleeping Computer legt Delpy uit dat het lek het mogelijk maakt om een print server automatisch kwaadaardige DLL-bestanden te laten downloaden en uitvoeren. Microsoft lijkt nog geen antwoord te hebben op het huidige lek. Delpy raadt ondertussen een aantal maatregelen aan in het Bleeping Computer artikel, waaronder het blokkeren van SMB-verkeer en het instellen van de servers op de Point and Print lijst.
In samenwerking met Dutch IT Channel.
Fout opgemerkt of meer nieuws? Meld het hier