Exploitcode en afweer tegen open printergat Windows

De reeks ontdekte kwetsbaarheden in printerfunctionaliteit van Windows blijft escaleren qua impact. Securityonderzoekers hebben verdere, betere misbruikmogelijkheden ontdekt. Naast exploitcode waarmee gewone gebruikers zichzelf de diepgaande SYSTEM-rechten toe kunnen eigenen, duiken er nu ook tegenmaatregelen op. Een patch van Microsoft moet nog komen.

Jasper BakkerredacteurMeer van deze auteur

Microsoft is nog doende om te bepalen welke versies van Windows geraakt worden door het derde ernstige Windows-printergat (CVE-2021-34481) dat in de afgelopen vijf weken is onthuld. In het nog schaarse informatiebulletin spreekt de softwaremaker zijn dank uitspreekt aan onderzoeker Jacob Baines, die begin augustus op hackersconferentie DEF CON zijn ontdekking uiteenzet.

Printernachtmerrie houdt aan

Terwijl Baines in een reactie aan The Register zegt dat zijn printerkwetsbaarheid niet is gerelateerd aan de eerdere twee kwetsbaarheden in de Printer Spooler van Windows, hebben andere securityonderzoekers wel een link gelegd. Zo heeft Benjamin Delpy, maker van hack/securitytool Mimikatz, zich vastgebeten in de zogeheten #PrintNightmare-saga.

Deze securityonderzoeker heeft de afgelopen dagen misbruikmogelijkheden verder verkend. Hij kan nu lokale toegang krijgen door een gewone gebruiker te verheffen tot SYSTEM-rechten, die dieper gaan dan beheerdersrechten. Een enkele printerconnectie en legitieme printerdrivers volstaan daarbij; digitaal ondertekende malware of vervalste drivers zijn niet nodig. Delpy biedt een online-exploittest aan, waarbij hij de relatief kleine drivers van Kyocera heeft gebruikt. Zijn tests met drivers van fabrikanten als Canon, Epson, HP, Konica, Ricoh, Toshiba en Xerox blijken ook succesvol te zijn.

Ook Windows 11

De door Delpy uitgevogelde hackmogelijkheden werken volgens andere onderzoekers op alle Windows-versies die Microsoft momenteel officieel ondersteunt. Dit omvat naast Windows 10 en Windows Server in verschillende versies ook de bèta van Windows 11. Die aankomende nieuwe versie van het clientbesturingssysteem is voorzien van extra beveiligingsmogelijkheden, maar de aanwezige oude code voor printen op afstand blijkt daar 'doorheen' te gaan.

Afweer tegen misbruik van deze kwetsbaarheid in de Printer Spooler wordt nu ook ontwikkeld en online gedeeld. Beheerders kunnen om te beginnen al het uitgaande SMB-netwerkverkeer blokkeren. De nu beschikbare publieke exploitcode heeft namelijk verbinding met een kwaadaardige printerserver nodig, om daarmee systemen te hacken.

Printerservers whitelisten

Een andere manier om deze 'vierde aflevering van PrintNightmare' te blokkeren, is het dichttimeren van de PackagePointAndPrintServerList in Windows. Door middel van een group policy valt een lijst van goedgekeurde servers in te stellen waarvandaan printerdrivers geïnstalleerd mogen worden. Aanvalspogingen met kwaadaardige printerservers worden dan de pas afgesneden.

Want to test #printnightmare (ep 4.x) user-to-system as a service??
(POC only, will write a log file to system32)

connect to \\https://t.co/6Pk2UnOXaG with
- user: .\gentilguest
- password: password

Open 'Kiwi Legit Printer - x64', then 'Kiwi Legit Printer - x64 (another one)' pic.twitter.com/zHX3aq9PpM
— ? Benjamin Delpy (@gentilkiwi) July 17, 2021