Windows-bug ‘PrintNightmare’ actief uitgebuit door aanvallers
Microsoft waarschuwt voor een nieuwe zero-day kwetsbaarheid in de dienst die printopdrachten van verschillende gebruikers moet beheren. Via de bug zouden aanvallers vanop afstand code kunnen draaien op computers.
De kwetsbaarheid kreeg de naam ‘PrintNightmare’ mee, of iets professioneler, CVE-2021-34527. De bug werd al door aanvallers misbruikt, aldus de techgigant.
Het gaat om een zero-day kwetsbaarheid die aanvallers toelaat om vanop afstand code te draaien met de privileges van SYSTEM. Een en ander betekent dat aanvallers zo programma’s kunnen installeren, gegevens kunnen aanpassen en nieuwe accounts kunnen maken met administratorrechten. Er zou dus heel wat schade kunnen worden aangericht.
Microsoft zegt het geheel nog te onderzoeken, maar geeft aan klanten wel aan dat de bug actief wordt uitgebuit door aanvallers. De kwetsbare code is bovendien te vinden is in alle versies van Windows, aldus de techgigant. Het is nog niet zeker of ze ook in elke versie van het besturingssysteem misbruikt kan worden, maar het lijkt er hoe dan ook op dat domain controllers kwetsbaar zijn.
Oeps
De zero-day werd per ongeluk publiek gemaakt door een onderzoeksgroep. Die publiceerde een proof-of-concept over de code in de veronderstelling dat ze al weggepatcht was. Dat bleek niet het geval.
Een officiële patch is op dit moment ook nog niet uit, dus Microsoft geeft de raad om Windows Print Spooler dienst af te sluiten op domain controllers die niet actief instaan voor het uitprinten van documenten. De dienst draait standaard op Windows besturingssystemen, maar ook domain controllers en Windows Server. Ze is nodig om op kantoren verschillende computers de printer te laten gebruiken.
Fout opgemerkt of meer nieuws? Meld het hier