Microsoft-update voor PrintNightmare-lek in Windows onvolledig

[Captain Kirk]

De noodpatch die Microsoft uitbracht voor een kritieke kwetsbaarheid in de Windows Print Spooler blijkt onvolledig en de kwetsbaarheid in sommige scenario's niet te verhelpen, waardoor misbruik nog steeds mogelijk is. De kwetsbaarheid, aangeduid als CVE-2021-34527 en "PrintNightmare", bevindt zich in de Windows Print Spooler en maakt remote code execution en "locale privilege escalation" (LPE) mogelijk, waardoor een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen.

Verschillende beveiligingsonderzoekers melden nu dat het LPE-probleem niet is verholpen, aangezien eerder ontwikkelde exploits nog steeds werken. In het geval van Windows 7, 8, 8.1 en Server 2008 en 2012 werkt dit standaard. Voor Windows 10 en 11 en Server 2016 en 2019 moet de Point & Print policy zijn ingeschakeld. Wanneer deze policy en de optie "NoWarningNoElevationOnInstall" staan ingeschakeld is ook remote code execution mogelijk. Point & Print staat echter niet standaard ingeschakeld. Onderzoeker Will Dormann maakte dit overzicht om duidelijk te maken wanneer systemen wel of niet kwetsbaar zijn.

Het PrintNightmare-lek wordt veroorzaakt doordat een aanvaller of gebruiker die toegang tot een printserver heeft op deze server een driver vanaf een remote locatie kan installeren. De beveiligingsupdate van Microsoft controleert of er geen driver meer vanaf een remote server wordt geïnstalleerd. Deze controle blijkt echter zeer eenvoudig te omzeilen. Iets waarvoor Google-onderzoeker James Forshaw al op 2 juli voor waarschuwde.

Verder heeft Microsoft de beveiligingsupdate nu ook beschikbaar gemaakt voor Windows 10 versie 1607, Windows Server 2016 en Windows Server 2012. Het techbedrijf had eerder al laten weten dat de patches voor deze versies later zouden komen.

 

bron: https://www.security.nl