Windows-domeincontrollers door print spooler-lek volledig over te nemen

[Captain Kirk]

Een kritieke kwetsbaarheid in de Print Spooler Service van Windows maakt het voor ingelogde domeingebruikers mogelijk om Windows-domeincontrollers volledig over te nemen en code met systeemrechten uit te voeren. Systeembeheerders wordt aangeraden om de Print Spooler Service, die verantwoordelijk is voor de verwerking van printjobs, op hun domeincontrollers uit te schakelen.

Microsoft bracht begin deze maand een beveiligingsupdate uit, maar volgens verschillende onderzoekers biedt die geen volledige bescherming en zijn servers daardoor nog steeds kwetsbaar. Het beveiligingslek wordt aangeduid als CVE-2021-1675 en "PrintNightmare" en werd gerapporteerd door securitybedrijven Tencent Security, AFINE en NSFOCUS. In eerste instantie stelde Microsoft dat de kwetsbaarheid alleen kon worden gebruikt door een aanvaller om zijn rechten op een al gecompromitteerd systeem te verhogen.

Dertien dagen na de publicatie van het beveiligingsbulletin stelde Microsoft dat de kwetsbaarheid remote code execution mogelijk maakt en verhoogde de ernst van het lek van laag naar kritiek. Begin deze week publiceerde securitybedrijf QiAnXin op Twitter een demonstratie waarbij wordt getoond hoe een aanvaller via het lek code kan uitvoeren. Ook verscheen er proof-of-concept exploitcode online.

Beveiligingsonderzoeker Matthew Hickey liet eerder vandaag op Twitter zien hoe een volledig gepatchte Windows 2019-domeincontroller via de kwetsbaarheid is te compromitteren. "Dit is erg belangrijk. Als je de Print Spooler Service hebt ingeschakeld (wat standaard is), kan elke remote geauthenticeerde gebruiker code als SYSTEM op de domeincontroller uitvoeren. Stop en schakel de service op elke domeincontroller nu uit!", zegt Will Dormann, analist bij het CERT Coordination Center (CERT/CC).

Tijdens de komende Black Hat-conferentie in Las Vegas zullen onderzoekers van securitybedrijf Sangfor een presentatie over de kwetsbaarheid geven, die ze naar zeggen onafhankelijk van de drie andere bedrijven ontdekten. Windows-domeincontrollers worden gebruikt voor verschillende taken met betrekking tot het authenticeren van gebruikers en computers en vervullen een essentiële rol in het netwerk.

 

bron: https://www.security.nl