Een week geleden zagen we hoe op Microsoft gebaseerde computers uit Windows 7 last hebben van een gelokaliseerde kwetsbaarheid in de Print Spooler-service. Een beveiligingsfout waardoor code op afstand kon worden uitgevoerd en waarvoor Microsoft nu de bijbehorende patch heeft gepubliceerd
Microsoft heeft een noodbeveiligingsupdate uitgebracht die wordt geleverd met patch KB5004948 en die voor alle versies, en er zijn er nogal wat, van Windows is die door dit probleem worden getroffen. Totdat Windows 7, niet langer ondersteund, de beveiligingspatch heeft ontvangen
Voor alle versies van Windows
Microsoft heeft patch KB5004945 uitgebracht om de Print Nightmare Windows Print Spooler-kwetsbaarheid in de nieuwste versies van Windows 10 op te lossen, samen met patch KB5004946, KB500497, KB5004948, KB5004959, KB5004960 en KB5004951 voor andere Windows-versies die worden ook beïnvloed door het probleem
- Windows 10, versie 21H1 (KB5004945)
- Windows 10, versie 20H1 (KB5004945)
- Windows 10, versie 2004 (KB5004945)
- Windows 10, versie 1909 (KB5004946)
- Windows 10, versie 1809 en Windows Server 2019 (KB5004947)
- Windows 10, versie 1803 (KB5004949)
- Windows 10, versie 1607 en Windows Server 2016 (KB5004948)
- Windows 10, versie 1507 (KB5004950)
- Windows Server 2012 (KB5004956 maandelijks updatepakket / alleen KB5004960-beveiliging)
- Windows 8.1 en Windows Server 2012 R2 (KB5004954 maandelijks updatepakket / alleen KB5004958-beveiliging)
- Windows 7 SP1 en Windows Server 2008 R2 SP1 (alleen KB5004953 maandelijks updatepakket / KB5004951-beveiliging)
- Windows Server 2008 SP2 (KB5004955 maandelijks updatepakket / alleen KB5004959-beveiliging)
In het Windows-berichtencentrum stelt Microsoft dat "een update is uitgebracht voor alle getroffen versies van Windows die nog steeds worden ondersteund".
De Print Nightmare-kwetsbaarheid, met de sleutel, CVE-2021-34527, is een bedreiging die als kritiek is geclassificeerd en wordt veroorzaakt door het feit dat de Print Spooler-service de toegang tot de RpcAddPrinterDriverEx-functie niet beperkt, iets dat kan een kwaadwillende en op afstand geverifieerde aanvaller toestaan om op afstand code op uw computer uit te voeren.
Het probleem is dat blijkbaar deze patch onvolledig is, aangezien beveiligingsonderzoekers ontdekten dat zelfs met de patch zowel het uitvoeren als ophalen van externe code lokale privileges kan krijgen.
In die zin, en zoals ze zeggen bij Bleeping Computer, zijn er kleine onofficiële en gratis patches gepubliceerd op de 0patch-blog die het probleem aanpakken dat wordt veroorzaakt door PrintNightmare en dat kan blokkeer pogingen om het beveiligingslek te misbruiken.
In die zin en als je geen van deze patches hebt geïnstalleerd, is het raadzaam om de aanbevelingen te volgen die we toen al zagen en die door deactiveer de "Print Queue"-service als we geen printer hebben of als we wel een printer hebben, ga dan naar "Groepsbeleid bewerken", selecteer "Computerconfiguratie", klik vervolgens op "Beheersjablonen", selecteer "Printers" en deactiveer vervolgens de optie"Sta de spooler toe verbindingen van clients te accepteren"
