Woensdag 30 juni is een groot beveiligingsrisico bekend geworden: de PrintNightmare exploit. Hierbij wordt de Print Spooler service misbruikt om systeemtoegang tot de werkstation, server of domein te verkrijgen. De Print Spooler is software die is ingebouwd op alle Windows-besturingssystemen om afdruktaken tijdelijk in het geheugen van de computer op te slaan totdat de printer klaar is om af te drukken.
Het betreft net als de Exchange Server attack in maart een zero-day-exploit. De zero staat voor de tijd die er is om de verdediging voor te bereiden vanaf het moment waarop er een lek in software wordt ontdekt. Deze pagina houdt een tijdlijn bij van activiteiten die wij hebben uitgevoerd om de veiligheid te borgen.
Woensdagavond 30 juni 2021
We volgen en onderzoeken meldingen en komen erachter dat op 8 juni Microsoft een specifieke patch heeft vrijgegeven dat als laag risico werd geïdentificeerd en op 21 juni is omgezet naar kritisch. Dit omdat er een mogelijke remote code execution (RCE) uitgevoerd kan worden. Hiermee kan een aanvaller toegang krijgen tot het systeem en wijzigingen aanbrengen.
En dan gaat het snel, code waarmee volledige systeemrechten tot servers verkregen kan worden, verspreidt zich razendsnel en de beschikbare patch is daar niet tegen opgewassen.
Er is nog geen oplossing beschikbaar maar er wordt geadviseerd om de Print Spooler service volledig uit te schakelen. Dit advies hebben we direct opgevolgd. Daar waar dat niet mogelijk was hebben we een workaround toegepast om het risico te beperken. Het komt erop neer dat we de rechten op de Print Spooler folder hebben beperkt. Bij eventuele wijzigingen in printerinstellingen moet dit weer worden teruggezet.
Donderdag 01 juli
Na notificatie gisteravond hebben we meteen een team samengesteld om de risico’s en een plan van aanpak te bespreken. Interne communicatie volgt.
11.09 uur
Op alle servers in beheer wordt de Print Spooler service uitgeschakeld. Daar waar de Print Spooler nodig is (want er moet toch geprint kunnen worden) worden de rechten op de Microsoft-servers beperkt en we voeren een controle uit. In ons systeem hebben we niets verdachts ontdekt maar we hebben voor de zekerheid een extra alert setting in ons monitoringsysteem geplaatst.
14.28 uur
Communicatie naar de klanten is de deur uit. Een update op interne communicatie wordt uitgestuurd om de werkvloer te infomeren wat er moet gebeuren wanner een klant een probleem heeft met een bepaalde printapplicatie. Op LinkedIn plaatsen we een bericht inclusief het advies.
Dinsdag 06 juli
Een oplossing laat nog op zich wachten. We houden vinger aan de pols bij klanten en houden de rechten op de servers in de gaten. Zodra er een definitieve oplossing is, zullen we deze uiteraard direct uitrollen en daarover informeren.
Woensdag 07 juli
De security-updates die Microsoft beschikbaar heeft gesteld werken helaas niet goed, we wachten op een nieuwe patch.