image

Kaspersky: Windows Print Spooler-lekken steeds vaker misbruikt bij aanvallen

woensdag 11 mei 2022, 17:01 door Redactie, 10 reacties

Kwetsbaarheden in de Windows Print Spooler worden steeds vaker bij aanvallen gebruikt, zo stelt antivirusbedrijf Kaspersky op basis van eigen cijfers. De Print Spooler is verantwoordelijk voor het verwerken van printjobs. Het afgelopen jaar zijn er meerdere kwetsbaarheden in dit Windowsonderdeel ontdekt, waarvan PrintNightmare de bekendste is. Ook de bekende Stuxnet-worm die systemen in de Iraanse uraniumverrijkingscentrale van Natanz saboteerde maakt onder andere misbruik van een lek in de Print Spooler.

Beveiligingslekken in dit Windowsonderdeel zijn meestal niet genoeg om systemen op afstand over te nemen en worden vooral door aanvallers die al toegang tot een systeem hebben gebruikt om hun rechten te verhogen. Kaspersky zag tussen juli 2021 en april van dit jaar zo'n 65.000 aanvallen waarbij een kwetsbaarheid in de Print Spooler werd gebruikt. Ongeveer 31.000 van deze aanvallen vonden de afgelopen vier maanden plaats, van januari tot en met april.

"Dit suggereert dat kwetsbaarheden in Windows Print Spooler een populaire aanvalsvector voor cybercriminelen blijven, wat inhoudt dat gebruikers alert moeten op beveiligingsupdates die Microsoft uitbrengt", zo laat het antivirusbedrijf weten. Onlangs kwamen de FBI en NSA met een overzicht van veel aangevallen kwetsbaarheden in 2021 waarin twee verschillende Print Spooler-lekken stonden. Gebruikers kunnen op systemen waar niet mee wordt geprint de Print Spooler-service uitschakelen.

Reacties (10)
11-05-2022, 17:08 door Anoniem
windows key + letter R
Zoek op "Print Spooler"

Dubbelkik erop.

Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"

Doe hetzelfde voor PlugPlay service
11-05-2022, 18:08 door Anoniem
Leuk om nog te horen wat er gebeurt bij bedrijven in Rusland.
11-05-2022, 19:38 door Anoniem
Door Anoniem: windows key + letter R
Zoek op "Print Spooler"

Dubbelkik erop.

Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"

Doe hetzelfde voor PlugPlay service

En hoe moet ik printen dan?
Leuk zo'n "half" advies...
11-05-2022, 21:33 door Anoniem
Door Anoniem:
Door Anoniem: windows key + letter R
Zoek op "Print Spooler"

Dubbelkik erop.

Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"

Doe hetzelfde voor PlugPlay service

En hoe moet ik printen dan?
Leuk zo'n "half" advies...
Je hebt niet altijd de spooler nodig om te printen.
11-05-2022, 21:59 door Anoniem
Door Anoniem: windows key + letter R
Zoek op "Print Spooler"

Dubbelkik erop.

Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"

Doe hetzelfde voor PlugPlay service
en hoe print ik dan?
11-05-2022, 23:05 door Anoniem
Door Anoniem:
Door Anoniem: windows key + letter R
Zoek op "Print Spooler"

Dubbelkik erop.

Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"

Doe hetzelfde voor PlugPlay service
en hoe print ik dan?
Op de normale manier, druk op afdrukken. Alleen moet wel jouw printer wel aanstaan, Andes is de tekst verloren.
Met spooler aan kijk Windows of de printer beschikbaar is en verstuurd dan de printopdracht.
Is er even geen printer beschikbaar onthoudt de spooler de printopdracht.
Dit is al zo lang Windows het spooler gebruikt.
11-05-2022, 23:19 door Anoniem
Door Anoniem:
Door Anoniem: windows key + letter R
Zoek op "Print Spooler"

Dubbelkik erop.

Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"

Doe hetzelfde voor PlugPlay service
en hoe print ik dan?
Euh... bij de Copyrette?
11-05-2022, 23:27 door Anoniem
Door Anoniem:
en hoe print ik dan?

Laat je toch niet in de maling nemen.
Je ziet toch dat die instructie niet duidelijk en niet volledig is.
Win-R en zoeken op "Print Spooler" werkt niet en de rest moet je ook maar zelf invullen.

Als Windows volledig wordt gepatched dan is het disablen van de spooler service in principe niet nodig.
Als je paranoia bent dan kun je de print spooler op manual zetten en starten als je print en daarna weer uitzetten en disablen.
Het advies om de "Plug and Play" service ook te disablen is nergens op gebaseerd.
Lees dit artikel maar eens voor Windows Server 2016 en kijk eens bij "Plug and Play"
https://docs.microsoft.com/en-us/windows-server/security/windows-services/security-guidelines-for-disabling-system-services-in-windows-server
Enables a computer to recognize and adapt to hardware changes with little or no user input. Stopping or disabling this service will result in system instability.
Dus als je een niet goed werkend systeem wilt doe dit dan vooral.
12-05-2022, 08:44 door Anoniem
Door Anoniem:
Door Anoniem: windows key + letter R
Zoek op "Print Spooler"

Dubbelkik erop.

Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"

Doe hetzelfde voor PlugPlay service
en hoe print ik dan?

Hallo, gebruiker ipv beheerder.

Dat gaat dan ook met name op servers. Dat heet hardening. Waarom moet bijv. op een Domain Controller of CA Server (zeker nu!) een printer spooler actief zijn? Er zal maar 1 of 2 servers zijn die deze functie aan hebben staan dat zijn de printer servers zelf. Tevens heeft Microsoft legio artikelen hoe je hier prima mee kan omgaan.

https://support.microsoft.com/en-us/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

eventueel voor je lokale pctje kan je dit doen of een local port toepassen als printer. Maar zit je in een Domein of MDM opossing dan gebruik je daar de middelen.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print key, create a new DWORD-32 bit value named RpcAuthnLevelPrivacyEnabled, and set it to 0, and restart your computer.

nog wat leesvoer
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-configuration-framework/windows-security-baselines

https://docs.microsoft.com/en-us/compliance/regulatory/offering-cis-benchmark
12-05-2022, 23:31 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: windows key + letter R
Zoek op "Print Spooler"

Dubbelkik erop.

Opstarttype wsordt: Uitgeschakeld
Status van service wordt "Stopzetten"

Doe hetzelfde voor PlugPlay service

En hoe moet ik printen dan?
Leuk zo'n "half" advies...
Je hebt niet altijd de spooler nodig om te printen.

Mee eens, mijn thuis printer accepteert "print opdrachten" via een email naar een HP adres. (die alleen mail accepteerd van mijn persoonlijke mail adres).
Hierdoor heb ik geen "Print Spooler" nodig...
Dus tja, het kan zeker...

Maar het blijft een half advies en niet alle printers hebben een alternatieve print methode.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.