image

Printer-worm verspreidt zich via Spooler-lek (video)

dinsdag 3 juli 2012, 09:54 door Redactie, 2 reacties

Een nieuwe Windows-worm gebruikt een lek in de Spooler service om zich binnen netwerken te verspreiden, maar veroorzaakt daarbij ook voor lege printers. Printlove, zoals Symantec de worm noemt, verspreidt zich via het Windows Print Spooler Service-lek (CVE 2010-2729) dat in 2010 werd gepatcht. De kwetsbaarheid werd onder andere door de Stuxnetworm gebruikt om de rechten op een systeem te verhogen en zou mogelijk al in 2009 zijn gevonden.

De worm zoekt vanaf een besmette computer naar een printer op het netwerk. Zodra het die vindt, kopieert het zich naar een andere computer via het StartDocPrinter request. Het Spooler-lek zorgt ervoor dat elk willekeurig bestand via de print spooler in een willekeurige directory kan worden geplaatst. Vervolgens wordt de malware op het nieuwe systeem uitgevoerd.

Papier
In het geval de computer is gepatcht, wordt de malware in de print spooler van de aangevallen computer opgeslagen. Deze computer zal het kwaadaardige bestand vervolgens op een gedeelde netwerkprinter afdrukken.

Onlangs werd er een Trojaans paard ontdekt dat al het papier in beschikbare printers via 'garbage jobs' opmaakte. Volgens Symantec is er mogelijk een verband tussen Printlove en de Milicenso Trojan, maar dit is nog niet bevestigd.

Reacties (2)
03-07-2012, 19:57 door Anoniem
... Zonde van al dat papier...
04-07-2012, 11:44 door dnmvisser
De vraag is natuurlijk waarom er überhaupt nog machines op een netwerk hangen die 2 jaar niet gepatched zijn.
Als je dan hier last van hebt is het bijna zeker dat je als admin nog een hoop andere problemen hebt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.