Belangrijkste afhaalrestaurants
- Windows Print Spooler is recentelijk het middelpunt geweest van verschillende beveiligingsproblemen.
- De specifieke manier waarop Windows Print Spooler werkt, maakt complexe afdruktaken eenvoudiger, maar niet zo veilig.
- Het opnieuw ontwerpen van de Print Spooler en het meer controle geven zou het minder kwetsbaar kunnen maken, als Microsoft daartoe bereid is.
Windows Print Spooler stond de laatste tijd centraal in verschillende beveiligingsproblemen, en ondanks de inspanningen van Microsoft gaat het probleem niet weg.
In iets meer dan een maand tijd heeft Microsoft drie beveiligingskwetsbaarheden geverifieerd die verband houden met de Windows Print Spooler, met tot nu toe patches voor twee ervan. CVE-2021-34527 (ook bekend als "PrintNightmare"), CVE-2021-34481 en nu CVE-2021-36958 maakten het mogelijk voor kwaadwillende actoren om zichzelf volledige SYSTEEM-privileges te geven. Het uitschakelen van de Print Spooler is een optie, maar hierdoor kunt u geen printers op uw computer aansluiten. Het is verre van een ideale oplossing.
"Dit probleem heeft consequent gevolgen voor servers en clients van Windows, van Windows 7 tot 10, en servers 2019, 2004, 2012, 2008 en 2016", zegt Felix Maberly, cybersecurity-expert bij Tiger Supplies, in een e-mail interview met Lifewire. "Alle patches die door Microsoft zijn gemaakt, hebben deze dreiging niet kunnen verzegelen."
Waarom de Print Spooler?
Spoolers zorgen er in het algemeen voor dat printers afdrukken - ze verzamelen alle benodigde gegevens, sturen deze naar de printerdriver, waarna de driver de printer in beweging zet. De versie van Microsoft gebruikt een Windows Graphical Device Interface (GDI) samen met de printerdriver om de printer te vertellen wat hij moet doen, in plaats van de toepassing. Dit vereenvoudigt afdruktaken voor complexere programma's en maakt het voor de toepassing overbodig om te weten hoe specifieke printermodellen moeten worden bediend.
"Hoewel de techniek die wordt gebruikt door Microsoft's Print Spooler behoorlijk geavanceerd is en gebruikers in staat stelt hun documenten in de wachtrij te plaatsen om af te drukken terwijl ze andere taken op de computer uitvoeren, maakt het gebruik van GDI het minder veilig", zegt Peter B altazar, technisch contentschrijver bij MalwareFox, in een e-mail, "zoals in tegenstelling tot de klassieke spoolers, ligt de volledige controle over de afdrukvolgorde niet bij de spoolertoepassing."
Dus het lijkt erop dat het kernprobleem met de kwetsbaarheid van Windows Print Spooler juist datgene is dat het onderscheidt van de meeste andere spoolers: de afhankelijkheid van de GDI. Door de controle te splitsen tussen Windows Print Spooler en de GDI, en de GDI alle afdrukgegevens te laten afhandelen, blijft het systeem open. Microsoft heeft tot zijn eer geprobeerd de zaken op de hoogte te houden door meerdere beveiligingsupdates uit te brengen voor getroffen systemen.
"Microsoft heeft verschillende patches uitgebracht om problemen op te lossen", zegt Maberly. "Tijdens de wachttijd blijft het echter de vraag of bedrijven en andere individuen [willen] kwetsbaar blijven om Microsoft de tijd te geven om deze patches uit te brengen."
Kan Microsoft het repareren?
Microsoft het tijdig uitgeven van beveiligingsupdates is goed, en het lijkt dit relatief snel te beheren naarmate nieuwe kwetsbaarheden worden erkend. Als het echter om systeembeveiliging gaat, is het misschien niet goed genoeg om enkele weken op een oplossing te wachten. Vooral als er steeds nieuwe kwetsbaarheden worden ontdekt terwijl bekende worden aangepakt.
"Microsoft moet ervoor zorgen dat we permanente bedreigingsoplossingen krijgen terwijl we wachten, in plaats van een patch te hebben die snel kwetsbaar wordt", zei Maberly.
Is het zelfs mogelijk voor Microsoft om Windows Print Spooler op dit moment te beveiligen, voor zover een computerprogramma kan worden beveiligd? Kan het metaforisch het water afsluiten en de leidingen repareren in plaats van te proberen nieuwe lekken te dichten wanneer het ze vindt? Gezien hoe vaak het de afgelopen maand beveiligingsupdates van de Print Spooler moest pushen, moet er iets veranderen.
"Microsoft moet [de Print Spooler] opnieuw ontwerpen en [in de tussentijd] blijven voorzien van bijgewerkte patches om het te repareren. Deze keer moeten ze de beveiligingsaspecten van het gebruik van de GDI in gedachten houden, "zei B altazar. "…De spooler moet controle hebben over alle stappen om de afdruktaak met succes af te ronden. Dit zal de volgorde waarschijnlijk strak binden en de spooler minder kwetsbaar maken voor infiltraties."