Nieuw zero-day gat in de Windows printer spooler

Blijkbaar liggen er meer onontdekte kwetsbaarheden op de loer in de Windows afdrukwachtrij en de
bijbehorende service. Microsoft heeft eind vorige week, kort na Update Tuesday, een waarschuwing
gegeven over de openbaar gemaakte kwetsbaarheid CVE-2021-34481. De fabrikant onderzoekt nog
welke Windows-versies kwetsbaar zijn. Een patch is nog niet beschikbaar. Volgens Microsoft zijn er
tot nu toe geen aanvallen waargenomen.

De CVE-2021-34481 kwetsbaarheid kan worden gebruikt om willekeurige code uit te voeren met systeemrechten.
Om dit te kunnen doen, moet een aanvaller echter ten minste basisgebruikersrechten hebben. De kwetsbaarheid
kan niet rechtstreeks via het netwerk worden uitgebuit. Maar door het te combineren met een tweede
kwetsbaarheid, kunnen deze beperkingen worden opgeheven. Dan zou de kwetsbaarheid kunnen worden
uitgebuit zonder interactie van de gebruiker. Een andere mogelijkheid is dat een aanvaller een gebruiker zover
krijgt om een voorbereid bestand te openen dat hij of zij bijvoorbeeld via e-mail of instant messenger ontvangt.

Het kan nog wel even duren voor er een update beschikbaar is. Mochten aanvallen bekend worden die van de
nieuwe kwetsbaarheid gebruik zouden maken, dan zou dit de verstrekking van een update moeten bespoedigen.
Tot die tijd raadt Microsoft aan de afdrukwachtrij-service (printer spooler) uit te schakelen.

Controleer of de printdienst draait via een PowerShell opdracht:

Code:
Get-Service -Name Spooler


Om de printdienst te stoppen en te deactiveren, kan je beide onderstaande opdrachten via PowerShell uitvoeren:
Code:
 Stop-Service -Name Spooler -Force

Code:
Set-Service -Name Spooler -StartupType Disabled

Het nadeel van deze tussenoplossing is, dat u hiermee niet lokaal of via het netwerk kunt afdrukken.
 

grotesmurf

Gewaardeerd Lid
Lid geworden
17 jan 2020
Berichten
630
Reactiescore
332
Punten
63
Locatie
Seijst
OS
Win xp / Win10
Volgens mij was dit ook al bekend voor die update uitkwam...
 

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Berichten
24.119
Reactiescore
6.329
Punten
713
Leeftijd
67
OS
Windows 10 Professional x64
AV
Ziggo F-Secure antivirus
FW
ZoneAlarm Free Firewall
@grotesmurf - het werd bekend toen de bedoelde update in de maak was.
 

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Berichten
24.119
Reactiescore
6.329
Punten
713
Leeftijd
67
OS
Windows 10 Professional x64
AV
Ziggo F-Secure antivirus
FW
ZoneAlarm Free Firewall
Waarom niet zo negatief overkomen willen. als een en ander allang bekend is?
Microsoft heeft op dit moment erg veel hooi op zijn vork zitten.
 

Roxmarie

Moderator
Team lid
Lid geworden
28 mei 2019
Berichten
4.728
Reactiescore
2.474
Punten
468
Locatie
Mooiste stad aan de IJssel
OS
Windows 10 home
AV
Windows beveiliging
FW
Windows beveiliging
Alweer??? Een paar weken geleden konden we op het werk niet printen omdat er een lek was, en dus was het printen door ICT uitgeschakeld totdat er een patch beschikbaar was. Is dit nu weer een ander lek? En die oplossing is dus niet handig, als je privé weleens iets moet printen. Hopelijk komt er dus snel een patch vanuit Microsoft die het lek weer dicht. Een ducktapje plakken zal wel niet helpen :)
 

grotesmurf

Gewaardeerd Lid
Lid geworden
17 jan 2020
Berichten
630
Reactiescore
332
Punten
63
Locatie
Seijst
OS
Win xp / Win10
Ik heb 1 voordeel.....als ik in W10 niet kan printen doe ik het gewoon in XP......zelfde pc werkt altijd.:p
 

Rubensky

Moderator
Team lid
Lid geworden
4 aug 2016
Berichten
2.781
Reactiescore
381
Punten
258
OS
Windows 10 professional
AV
Windows Defender
FW
Windows Firewall
De printer spooler, of beter gezegd het protocol dat wordt gebruikt om de wachtrij te vullen en daarna de printer te laten weten dat er documenten wachten om te worden afgedrukt, is iets dat al bestaat sinds het ontstaan van printers. Microsoft heeft nooit de moeite genomen om het bestaande protocol in zijn geheel te herschrijven voor een nieuwe Windows versie. Mede ook omdat het maar een heel klein eenvoudig ding is wat geen bijzondere rechten vereist of bijzondere taken uitvoert.

Dat dan nu het ene na het andere lek wordt gevonden is niet zo verwonderlijk.

Zelf heb ik ervoor gekozen om zakelijk de spooler wel actief te houden, want zonder printer werken is geen doen. Wel heb ik nogmaals handmatig gecontroleerd of de spooler alleen aanstaat op de server die de printers aanstuurt.
 
Bovenaan Onderaan