PrintNightmare en rustig slapen met MyQ

"PrintNightmare" is de naam voor een reeks ernstige beveiligingslekken in de Windows Print Spooler-service (CVE-2021-34481 en CVE-2021-34527). Hoewel deze problemen medio 2021 aan het licht kwamen, blijven de omstandigheden die hiertoe hebben geleid systeembeheerders nog steeds achtervolgen.

Door het PrintNightmare-beveiligingslek kon elke gebruiker binnen het netwerk van een organisatie misbruik maken van de domeincontroller via de Windows Spooler en het Microsoft Directory-domein compromitteren. Hierdoor konden aanvallers code uitvoeren met systeembevoegdheden, zolang ze maar over de inloggegevens van een geauthenticeerde gebruiker beschikten.

De Print Spooler-serviceMicrosoft is de netwerkbemiddelaar tussen printers en individuele computers. Deze service accepteert afdruktaken van de computer, zorgt ervoor dat printerbronnen beschikbaar zijn en plant de volgorde van afdruktaken die in de wachtrij worden geplaatst. Voor domeincontrollers haalt de Print Spooler-service de lijst met printers op uit Active Directory en controleert of de print server bereikbaar print server of dat de printer nog steeds wordt gedeeld.

Ja, de spooler speelt een belangrijke rol, maar is niet essentieel. Hoewel sommige printbeheeroplossingen er veelvuldig gebruik van maken, wordt het al lang erkend als een veiligheidsrisico. Microsoft domeincontrollers en Active Directory-beheerderssystemen dan ook Microsoft om deze service uit te schakelen wanneer deze niet nodig is.

Er bestaat een risico door te veel te delen

Problemen met Windows Spooler namen exponentieel toe door een communicatiestoornis tussen beveiligingsonderzoekers en Microsoft. Kort gezegd deelden twee onderzoekers hun bevindingen – en een proof of concept – over deze kwetsbaarheid voordat Microsoft een volledig functionele patch hiervoor Microsoft voorbereid. Deze onderzoeksresultaten gingen op een negatieve manier viraal. Bovendien Microsoft meerdere patches Microsoft – niet één – om de meeste problemen op te lossen. Een van hun belangrijkste corrigerende maatregelen was om gebruikers te verplichten beheerdersrechten te hebben bij het gebruik van de Point and Print-functie om printerstuurprogramma's te installeren. Er waren ook klachten over de manier waarop deze maatregelen werden geïmplementeerd.  

Gebruik je je computer op een veilige manier? 

Onderzoekers die voortijdig publiceerden, waren slechts het zichtbare begin van het probleem. PrintNightmare werd echt versneld door beheerders die 'onveilig computergebruik' toepasten.

"Dit komt eigenlijk door de gangbare praktijk om drivers via het netwerk te delen via Microsoft Spooler", aldus Václav Salava, senior supportspecialist bij MyQ. "Ik zou dit systematisch risicovol gedrag noemen."

Hoewel Print Spooler belangrijk is geweest, mag het als bekend beveiligingsrisico geen verplicht onderdeel zijn van printbeheersoftware. Het werd voor het eerst wereldwijd bekend toen het werd opgenomen in de Stuxnet-worm als de beroemde zero-day-kwetsbaarheid CVE-2010-2729. Vergeet niet dat zelfs Microsoft om het uit te schakelen. 

Wees gerust met MyQ

Bij MyQ waren er geen alarmsignalen over de PrintNightmare- en Print Spooler-problemen – en daar zijn twee goede redenen voor. Ten eerste heeftMyQ de Print Spooler-service niet nodig. Ten tweede MyQ klanten MyQ lang MyQ om hun omgeving in te richten zonder printdrivers te delen. "Het printerstuurprogramma kan rechtstreeks op clientcomputers worden geïnstalleerd", aldus Václav. Met MyQ kan dit door een beheerder worden gedaan via een beheersscript voor het distribueren van stuurprogramma's. Daarnaast zijn er verschillende stuurprogrammaloze afdrukmethoden die klanten ook kunnen gebruiken. Deze alternatieven zijn onder andere AirPrint, webupload, afdrukken via e-mail en mobiel afdrukken met de MyQ Mobile Client.

Voor betere, veiligere dromen zet u de Print Spooler-service in de slaapstand.

Download de beveiligde myq