Microsoft vertelt gebruikers printerspooling uit te schakelen om te beschermen tegen zero-day-exploit

Microsoft heeft een reeks mitigerende maatregelen genomen tegen een zero-day-exploit waarvan het technologiebedrijf zegt dat "aanvallers actief misbruik maken".

De zero-day exploit, ook wel bekend als AfdrukkenNachtmerrie, maakt misbruik van een kwetsbaarheid in de Windows Print Spooler en kan een aanvaller in staat stellen code op afstand uit te voeren.

Hoewel er geen specifieke oplossing is voor PrintNightmare, bevat het advies van Microsoft twee opties die gebruikers kunnen inzetten om hun systeem te beschermen tegen de potentieel gevaarlijke exploit.

PrintNightmare is de afdruktaak uit de hel

De afdrukspooler is een Windows-softwareservice die de afdrukprocessen van uw systeem beheert. Wanneer u op afdrukken drukt, neemt de spooler de binnenkomende afdruktaak van de software (of het besturingssysteem) en zorgt ervoor dat de printer en zijn bronnen (papier, inkt, enz.) klaar zijn voor actie. Wanneer u meerdere afdruktaken verzendt, zet de spooler ze in de wachtrij en beheert de printeruitvoer.

De print spooler-service heeft toegang tot het hele systeem. Hoewel het onschuldig klinkt, kan het van een dergelijke service een doelwit maken voor aanvallers die bronnen willen aanvallen met systeembrede privileges.

In dit geval heeft het Chinese beveiligingsbedrijf Sangfor per ongeluk een proof-of-concept-exploit gepubliceerd voor een zero-day aanval naar zijn GitHub-pagina. Het bedrijf trok de code onmiddellijk, maar niet voordat deze werd geforkt en in het wild werd gekopieerd.

PrintNightmare, bijgehouden als CVE-2021-34527, is een kwetsbaarheid voor het uitvoeren van externe code. Dit betekent dat als een aanvaller de kwetsbaarheid zou misbruiken, hij in theorie kwaadaardige code op een doelsysteem zou kunnen uitvoeren. Hoewel u misschien het belangrijkste doelwit bent voor een dergelijke exploit, gebruiken miljarden computers en servers over de hele wereld de Microsoft Print Spooler, en daarom veroorzaakt PrintNightmare dergelijke problemen.

Verwant: De beste gratis antivirussoftware

Microsoft adviseert voorzichtig om Print Spooler-service uit te schakelen

Tot er een specifieke oplossing is gevonden, Microsoft adviseert gebruikers, bedrijven en organisaties om de Print Spooler-service uit te schakelen op elke server die dit niet nodig heeft.

Er zijn twee manieren waarop organisaties de Print Spooler-service kunnen uitschakelen: via PowerShell of via Groepsbeleid.

PowerShell

1. Open PowerShell.
2. Invoer Stop-Service -Naam Spooler -Force
3. Invoer Set-Service -Name Spooler -StartupType uitgeschakeld

Groepsbeleid

1. Open de Groepsbeleid-editor(gpedit.msc)
2. Blader naar Computerconfiguratie / Beheersjablonen / Printers
3. Zoek de Toestaan ​​dat Print Spooler clientverbindingen accepteert het beleid
4. Instellen op Uitschakelen > Toepassen

Microsoft is niet de enige organisatie die gebruikers adviseert om print spooling-services waar mogelijk uit te schakelen. CISA ook vrijgelaten een verklaring waarin een soortgelijk beleid wordt geadviseerd, waarbij "beheerders worden aangemoedigd om de Windows Print spooler-service uit te schakelen in domeincontrollers en systemen die niet kunnen afdrukken."

Hoewel Microsoft dit advies met betrekking tot PrintNightmare opnieuw uitgeeft, adviseert het bedrijf dit beleid te allen tijde om te beschermen tegen onverwachte indringers via deze methode. Het uitschakelen van de Print Spool-service met een groepsbeleid is de beste manier om domeinbrede beveiliging te garanderen.

Malware begrijpen: 10 veelvoorkomende typen die u moet kennen

Leer meer over de veelvoorkomende soorten malware en hun verschillen, zodat u begrijpt hoe virussen, trojans en andere malware werken.

Lees volgende

Over de auteur