Microsoft heeft nog een nieuwe zero-day bug-kwetsbaarheid bevestigd die verband houdt met het hulpprogramma Print Spooler, ondanks recent uitgebrachte spooler-beveiligingsoplossingen.
Niet te verwarren met de initiële PrintNightmare-kwetsbaarheid, of de andere recente Print Spooler-exploit, deze nieuwe bug zou een lokale aanvaller in staat stellen systeemrechten te verkrijgen. Microsoft is nog steeds bezig met het onderzoeken van de bug, aangeduid als CVE-2021-36958, dus het heeft nog niet kunnen verifiëren om welke Windows-versies het gaat. Het heeft ook niet aangekondigd wanneer het een beveiligingsupdate zal uitbrengen, maar stelt dat oplossingen doorgaans maandelijks worden uitgebracht.
Volgens BleepingComputer is de reden dat de recente beveiligingsupdates van Microsoft niet helpen, vanwege een onoplettendheid met betrekking tot beheerdersrechten. De exploit omvat het kopiëren van een bestand dat een opdrachtprompt en een printerstuurprogramma opent, en beheerdersrechten zijn nodig om een nieuw printerstuurprogramma te installeren.
De nieuwe updates vereisen echter alleen beheerdersrechten voor de installatie van stuurprogramma's - als het stuurprogramma al is geïnstalleerd, is een dergelijke vereiste niet. Als het stuurprogramma al op een clientcomputer is geïnstalleerd, hoeft een aanvaller alleen maar verbinding te maken met een externe printer om volledige systeemtoegang te krijgen.
Net als bij eerdere exploits van Print Spooler, raadt Microsoft aan de service volledig uit te schakelen (als deze "geschikt" is voor uw omgeving). Hoewel dit het beveiligingslek zou sluiten, zou het ook de mogelijkheid uitschakelen om op afstand en lokaal af te drukken.
In plaats van te voorkomen dat u volledig kunt afdrukken, stelt BleepingComputer voor om uw systeem alleen printers te laten installeren van servers die u persoonlijk machtigt. Het merkt echter op dat deze methode niet perfect is, omdat aanvallers de kwaadaardige stuurprogramma's nog steeds op een geautoriseerde server kunnen installeren.
