Mark Koek

HackDefense Alert: PrintNightmare”

Lekken in Print Spooler-service maken Domain Controllers kwetsbaar

Door twee lekken in de Print Spooler-service kan het voor gebruikers – of aanvallers die de controle hebben over een gebruikersaccount – mogelijk zijn om de volledige controle te krijgen over de Domain Controller(s).

Wat is er aan de hand

Microsoft heeft op 8 juni een update voor Windows uitgebracht die specifiek betrekking heeft op een ernstige kwetsbaarheid in de Print Spooler-service. Dit is een standaard-onderdeel van Windows, dat op printservers en Domain Controllers ook standaard is ingeschakeld en bereikbaar is via het netwerk.

Na publicatie van de eerste update door Microsoft is nog een tweede lek in dezelfde service bekend geworden, waarvoor dus nog geen update beschikbaar is.

Wat kan er gebeuren

Iemand op het lokale netwerk (fysiek aanwezig of via VPN, met geldig account) kan de volledigecontrole krijgen over de gehele Windows-infrastructuur en de daarin opgeslagen gegevens.

Deze kwetsbaarheid is ideaal voor ransomware-bendes die een gebruikers-wachtwoord hebben wetente bemachtigen, via phishing of door het te raden. Via dit lek kunnen ze de backups vernietigen (tenzijdeze buiten het Windows domain zijn opgeslagen), en alle data in het netwerk versleutelen.

Wat kunnen we eraan doen

Installeer de patch, en schakel de Print Spooler service uit waar mogelijk.

  • De eerste kwetsbaarheid wordt opgelost door de June 8, 2021 Monthly Rollup te installeren op alle Windows-systemen. Verifieer voor de zekerheid dat deze patch ook echt geïnstalleerd is opservers waarop de Print Spooler-service niet kan worden uitgeschakeld (zie volgend punt).

  • De tweede kwetsbaarheid kan nog niet worden opgelost omdat er nog geen update voor beschikbaar is. De snelste oplossing is het uitschakelen van de print spooler-service totdat er een update is. Op een Domain Controller kan dit zonder veel gevolgen – de service wordt hier alleen gebruikt om periodiek oude print queues op te schonen.

    Op een printserver kan het lastiger zijn, omdat gebruikers dan misschien niet meer kunnen printen.

    Uitschakelen van de service kan via msconfig, services.msc of met het commando net stop spooler. Voor een groot netwerk adviseren we om in een Group Policy (GPO) de service uit te schakelen op alle systemen, behalve waar deze noodzakelijk is (print servers).

    Merk op dat de service ook aanwezig is op desktop-systemen en hoewel deze normaliter niet actief is op (bijvoorbeeld) Windows 10 is het wel raadzaam om dit te checken.

  • Waar de Print Spooler-service niet kan worden uitgeschakeld kunt u misbruik van het lek onmogelijk maken door schrijfrechten voor alle gebruikers in te trekken op de directory C:\Windows\System32\spool\drivers. Dit kan bijvoorbeeld met volgende Powershell-script:

$Path = "C:\Windows\System32\spool\drivers" $Acl = Get-Acl $Path $Ar = New-Object System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny") $Acl.AddAccessRule($Ar) Set-Acl $Path $Acl

(met dank aan Truesec)

Als t.z.t. een patch beschikbaar en geïnstalleerd is adviseren we om dit weer terug te draaien.

Vragen?

Als u vragen heeft over het bovenstaande en/​of hulp nodig heeft bij het uitvoeren van de beschrevenacties kunt u ons altijd bellen via (071) 204 0101 of e‑mailen via info@​hackdefense.​nl.