Microsoft waarschuwt voor nieuw gat in Print Spooler

De nieuw gevonden fout wordt gevolgd onder CVE-2021-34481 en krijgt een CVSS-score van 7,8 op een schaal van 10. Het gaat om een zogeheten elevation of privilege-kwetsbaarheid, waarmee dus SYSTEM-privileges verkregen kunnen worden. Wie de fout misbruikt, kan volgens Microsoft programma's installeren, nieuwe accounts aanmaken met volledige gebruikersrechten en data bekijken, veranderen of verwijderen.

Om de fout te misbruiken moet een aanvaller wel de mogelijkheid hebben om code te draaien op het systeem van het slachtoffer. Vooralsnog is er geen actief misbruik van het gat gesignaleerd, maar Microsoft acht het wel waarschijnlijk dat dit gaat gebeuren. Welke Windows-versies precies kwetsbaar zijn, wordt nog onderzocht.

Vooralsnog is er geen oplossing voor het probleem verschenen. Een patch is nog in ontwikkeling. Microsoft adviseert nu om de Print Spooler-dienst in Windows te stoppen en uit te schakelen. Dat zorgt er wel voor dat het niet langer mogelijk is om lokaal of remote documenten af te drukken. 

PrintNightmare

Het advies om Print Spooler uit te schakelen, werd begin juli ook al gegeven. Destijds was dat vanwege PrintNightmare: een kwetsbaarheid die per ongeluk gevonden werd. Microsoft dichtte in de Patch Tuesday van juli namelijk wéér een ander gat - CVE-2021-1675 - waarna beveiligingsonderzoekers hun eigen bevindingen openbaar maakten, inclusief de proof of concept (PoC) code. 

Maar al snel bleek dat er ook een heel ander gat bij zat, namelijk CVE-2021-34527. De details en de bijbehorende PoC-code werden snel weer offline gehaald, maar de informatie was al gekopieerd en er verschenen diverse PoC-varianten. De hele affaire kreeg vervolgens de naam #printNightmare. 

Inmiddels heeft Microsoft een patch uitgebracht voor dit gat, al loste dat het probleem niet volledig op. Het bleek namelijk nog altijd mogelijk om vanaf een lokaal account diepgaande SYSTEM-rechten te krijgen. Bovendien zorgde de patch voor nieuwe printerproblemen: sommige printers konden geen verbinding meer maken met de pc's. Tijdens de afgelopen Patch Tuesday verscheen een geüpdate versie van de patch, waarmee de problemen wel verholpen moeten zijn.