Microsoft waarschuwt opnieuw voor een nieuwe kwetsbaarheid in de Windows Print Spooler-functie. Via de kwetsbaarheid kan een aanvaller code uitvoeren met adminrechten op een systeem. Het bedrijf raadt in een workaround aan om de Spooler-functie uit te schakelen.

De kwetsbaarheid duikt op wanneer er verbinding wordt gemaakt met een printserver. Deze printserver kan een dll-bestand kopiëren naar de client, dat vervolgens een system level command prompt opent waarop code kan uitgevoerd worden. De kwetsbaarheid heeft aanduiding CVE-2021-36958 gekregen en heeft een CVSS-score van 6,8. "Een aanvaller die deze kwetsbaarheid succesvol uitbuit, kan code uitvoeren met system-privileges", aldus Microsoft. "Een aanvaller kan programma’s installeren, data wijzigen en nieuwe accounts aanmaken met alle toegangsrechten tot het systeem."

Microsoft erkent de kwetsbaarheid, maar heeft nog geen patch uitgebracht. Het bedrijf publiceerde een workaround waarin het oppert om de Print Spooler-service stop te zetten. Datzelfde advies gaf Microsoft eerder al in afwachting van patches voor kwetsbaarheden genaamd PrintNightmare die werden ontdekt in de Print Spooler-service enkele weken geleden.

In de afgelopen weken ontdekte Microsoft diverse kwetsbaarheden in de Windows Print Spooler-service die actief misbruikt werden. Een eerste noodpatch die Microsoft begin juli uitbracht, moest de reeks bugs in Print Spooler-functie oplossen. Deze bleek echter niet voldoende te zijn om een local privilege escalation op het systeem te verhinderen. Een tweede patch veranderde vervolgens de manier waarop printerdrivers op Windows kunnen geïnstalleerd worden. Dat zal vanaf nu alleen door systeembeheerders kunnen gebeuren.