Systemen kwetsbaar door Print Spooler Lek
Microsoft heeft een kritiek lek ontdekt in de Print Spooler Service van Windows. Door deze kwetsbaarheid kunnen Windows-systemen volledig worden overgenomen. Daarna is het mogelijk om met systeembeheerdersrechten deze systemen te bedienen en op die manier dus in te breken in de volledige ICT-infrastructuur.
Microsoft heeft inmiddels een update uitgebracht om het lek te dichten. Echter melden verschillende bronnen dat deze update geen (volledige) bescherming biedt. Op 7 juli is er nogmaals een nood-update uitgebracht. Ook deze update dicht het lek (nog) niet. We adviseren echter wel om alle updates te installeren.
De Print Spooler Service staat standaard ingeschakeld op elk Windows-apparaat. Men dient de Service dus handmatig uit te schakelen. Microsoft adviseert om de Print Spooler Service uit te zetten. Echter betekent dit dat men vanaf dit moment niet meer in staat is om printopdrachten te versturen naar de printers. Dit ‘Zero-Day-Lek’ is bekend onder de naam ‘PrintNightmare’.
Sophos biedt preventie met behulp van een detectiemechanisme op zowel servers en werkplekken. Dit is ook het geval voor Sophos UTM, en Sophos XG(s). Sophos Managed Threat Response (MTR) heeft eveneens ingegrepen op deze kwetsbaarheid.
Welke actie moet ik ondernemen?
Maakt u gebruik van onze private cloud? Dan hoeft u verder geen actie te ondernemen. Heeft u een ‘managed’ overeenkomst waarin wij verantwoordelijk zijn voor het updaten van uw ICT-omgeving? Ook dan hoeft u geen actie te ondernemen. Bent u zelf verantwoordelijk voor het ICT-beheer van uw organisatie? Dan adviseren wij de laatste updates te installeren en de Print Spooler service uit te schakelen daar waar dat mogelijk is. Indien het uitschakelen geen optie is, dan kunt u overwegen om een ‘Point and Print restrictions’ policy te maken. Hiermee is het lek niet gedicht maar wordt de kans op misbruik kleiner.
Belangrijke kanttekening
Microsoft werkt nog steeds hard aan een nieuwe update om het lek te dichten. Wilt u hier niet op wachten en zeker weten dat u niet kwetsbaar bent voor dit lek? Neem dan contact met ons op. In overleg kunnen wij de Print Spooler Service voor u uitschakelen. Houd er a.u.b. rekening mee dat u vanaf dat moment niet meer kunt printen.
Meer (technische achtergrondinformatie)
-
- KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates
- Kritieke kwetsbaarheid in Windows: “PrintNightmare”
- PrintNightmare vulnerability: what to do
- Microsoft’s incomplete PrintNightmare patch fails to fix vulnerability
- Microsoft brengt noodpatch uit voor PrintNightmare-bug