In juni heeft Microsoft een kritieke kwetsbaarheid gepatcht, CVE-2021-1675 genaamd. Door dit beveiligingslek konden hackers op afstand pc's besturen via het Print Spooler-systeem – behoorlijk eng spul! Helaas hebben onderzoekers van het Chinese technologiebedrijf Sangfor een soortgelijke exploit, genaamd PrintNightmare, losgelaten nadat ze hackers hadden verteld hoe ze voordeel konden halen uit een voorheen onontdekte bug.
Hoe is dit gebeurd? Welnu, Sangfor bereidt zich voor op een conferentie over Windows’ printersysteem, dat altijd kwetsbaar is geweest voor hackers. Om mensen klaar te stomen voor deze conferentie, besloot Sangfor een Proof of Concept (POC) te publiceren waarin wordt uitgelegd hoe de onlangs gepatchte CVE-2021-1675 werkt en welke gevaarlijke dingen je ermee kunt doen.
Maar deze onderzoekers speelden niet met CVE-2021-1675. Het bleek dat ze een soortgelijke kwetsbaarheid hadden ontdekt in de Windows Print Spooler, PrintNightmare genaamd, die nu de flatterende bijnaam CVE-2021-34527 draagt. Door een POC op PrintNightmare te publiceren, leerde Sangfor hackers effectief hoe ze konden profiteren van een gevaarlijke, zero-day bug in het Windows-systeem.
Microsoft heeft CVE-2021-34527 toegewezen aan de uitvoering van externe code kwetsbaarheid die van invloed is op Windows Print Spooler. Lees hier meer informatie: https://t.co/OarPvNCX7O
— Microsoft Security Intelligence (@MsftSecIntel) 2 juli 2021
PrintNightmare heeft volgens Microsoft gevolgen voor alle versies van Windows. Het is een bug in de Windows Print Spooler, een ingewikkelde tool die Windows onder andere gebruikt om met printschema's te jongleren. Hackers die misbruik maken van deze kwetsbaarheid krijgen volledige controle over een systeem, met de macht om willekeurige code uit te voeren, software te installeren en bestanden te beheren.
In een bericht van het Microsoft Security Response Center op 1 juni stelt het bedrijf dat hackers om in te loggen op een pc voordat u de PrintNightmare-exploit uitvoert (wat betekent dat bedrijven, bibliotheken en andere organisaties met grote netwerken het meest kwetsbaar kunnen zijn). Microsoft zegt dat hackers PrintNightmare actief misbruiken om systemen te compromitteren, dus betrokken partijen moeten stappen ondernemen om het probleem te verhelpen.
Op dit moment is de enige manier om een pc te beschermen tegen PrintNightmare het uitschakelen van afdrukfuncties zoals de Print-spooler. Deze voorzorgsmaatregel is misschien niet mogelijk in organisaties waar printnetwerken een noodzaak zijn, maar u kunt leren hoe u deze stappen kunt nemen in het Microsoft Security Response Center.
Bron: Microsoft via Bleeping Computer, Forbes