Security Melding - Windows Printer Spooler Service lek CVE-2021-34527

Groot incident Beveiliging Security & Compliance Onpremise Infrastructuur Windows Server Windows Clients
2021-07-01 00:01 CET · 1 week, 4 dagen, 7 uren, 37 minuten, 28 seconden

Update

Opgelost

Afgelopen weekend hebben wij de laatste omgevingen (2016 servers) ook voorzien van de update die het lek in de printer aansturing van alle Windows servers oplost, alle server omgevingen zijn dus geupdate en beschikken weer over de printer functies.

De laptops en werkstations hebben vorige week de update aangeboden gekregen, de meeste apparaten zijn bijgewerkt. Apparaten die nog niet ingeschakeld zijn geweest zullen de update ontvangen zodra ze online komen.

We sluiten het incident hierbij af, mocht u aanvullende vragen hebben dan kunt u altijd een melding maken via helpdesk@arrowsict.nl

juli 12, 2021 · 07:38 CET
Updaten

Zoals in onze vorige update gemeld hebben wij inmiddels voor bijna alle Windows versies de patch beschikbaar gesteld, de meeste systemen zijn inmiddels voorzien van de update en kunnen weer gebruik maken van de print functies. Systemen die nog niet opgestart zijn geweest zullen de update bij de eerst volgende keer opstarten automatisch ontvangen.

Alleen Windows Server 2016 gaf nog problemen in onze test omgevingen en zijn nog niet uitgegeven voor de productie systemen bij klanten. Inmiddels zijn er aanpassingen doorgevoerd en zijn onze tests positief afgerond.

Vanavond en morgenavond na 19u zullen alle 2016 server systemen voorzien worden van de patch. Hierbij lasten we dus voor vanavond 10-07 en morgenavond 11-07 vanaf 19u weer een spoed onderhoudsvenster in. Dit spoed onderhoudsvenster heeft enkel betrekking op Windows 2016 server systemen incl. ons VDI (Virtual Desktop) platform.

We verwachten maandagochtend (12-07) bij alle klanten de print functionaliteit geupdate en actief te hebben en het incident af te kunnen sluiten. Wij houden u via deze status mail en onze status pagina (https://status.arrowsict.nl) op de hoogte.

juli 10, 2021 · 16:09 CET
Toezicht

Zoals in de update van vanochtend gecommuniceerd heeft Microsoft inmiddels ook voor de server besturingssystemen Windows Server 2012 en Windows Server 2016 een patch uitgebracht om het lek in de printer functionaliteit te dichten.

Om er (vrijwel) zeker van te zijn dat een spoed update niet voor problemen zorgt testen wij updates vooraf uitgebreid uit, tijdens onze tests bleken er problemen te zijn met de update voor Windows Server 2016. Deze problemen zijn inmiddels bij Microsoft onder de aandacht, helaas hebben ze nog geen herziene update uitgebracht.

Vanavond zullen dus alle 2016 Server besturingssystemen NIET geüpdate worden, de update voor de 2012 Server besturingssystemen worden wel volgens planning doorgevoerd. Zodra Microsoft een nieuwe update uitbrengt die probleemloos door de tests komt zullen we direct een nieuw spoed onderhoudsvenster inlassen voor de 2016 Server systemen.

Onze VDI (Virtual Desktop) infrastructuur draait op het Server 2016 besturingssysteem en kan dus nog niet voorzien worden van een patch om het lek in de printer functionaliteit van Windows te dichten.

juli 8, 2021 · 18:27 CET
Updaten

Gisteren brachten wij u op de hoogte van de patch die door Microsoft is uitgebracht mbt het lek in het printersysteem. Deze patch hebben wij toegepast op alle client systemen, laptops en werkstations die deze patch nog niet hebben ontvangen zullen deze na het inschakelen direct ontvangen waarna print functies weer actief worden.

Op de server besturingssystemen 2012R2 en 2019 hebben wij gisterenavond en vannacht de patches geinstalleerd en de machines herstart. De print functies zijn op deze machines ook weer actief.

Inmiddels heeft Microsoft ook een patch uitgegeven voor 2012 en 2016 server systemen, deze patch gaan wij testen en indien wij geen problemen ervaren zullen we deze vanavond op de betreffende machines tijdens een nieuw spoed onderhoud venster installeren.

Er van uitgaande dat de patch door onze interne test komt gaan we dus vanavond (08-07) vanaf 19u weer een spoed onderhoud venster inlasten. Alle 2012 en 2016 servers zullen de patch ontvangen en herstart worden. Ons VDI (Virtual Desktop) platform is gebaseerd op Windows Server 2016 en zal daarmee vanavond ook vanaf 19u verminderd beschikbaar zijn.

juli 8, 2021 · 08:23 CET
Updaten

Op dit moment worden alle ingeschakelde client devices (computers, laptops en tablets) van Windows 7 t/m de laatste versie van Windows 10 voorzien van de patch. Na de update moeten de systemen een herstart krijgen om de update volledig door te voeren en het lek te dichten, we hebben dit proces bewust niet geautomatiseerd om verlies van werk (data) te voorkomen. We vragen u vriendelijk om de pc aan het einde van de dag of na een update melding te herstarten.

Wij willen u ook vragen zo veel mogelijk systemen (ook van thuiswerkers) in te (laten) schakelen, hoe sneller alle systemen voorzien zijn van de laatste update zoveel te eerder kan de omgeving weer volledig functioneel en veilig gebruikt worden.

Ondanks dat Windows 7 niet meer ondersteund en geupdate wordt heeft Microsoft toch een patch voor dit besturingssysteem uitgebracht, hiermee benadrukt Microsoft hoe kritisch dit lek wordt bevonden.

Bedankt voor uw medewerking!

juli 7, 2021 · 14:54 CET
Updaten

Vanochtend hebben wij in onze status update aangegeven dat er door Microsoft voor de meeste besturingssystemen een patch is uitgebracht om het lek in het onderdeel verantwoordelijk voor de printer aansturing te dichten. We hebben deze patch getest en akkoord bevonden voor installatie.

Dit betekend dat gefaseerd (vandaag en morgen) alle cliënt besturingssystemen (Windows 8.1 en Windows 10) de update automatisch ontvangen. Voor de server besturingssystemen 2008R2, 2012R2 en 2019 zullen we vanavond vanaf 19u een spoedonderhoud venster inlassen. Dit betekend dat we alle server systemen waar de update voor beschikbaar is vanavond vanaf 19u gaan updaten en herstarten!

Server besturingssystemen 2012R2 en 2016 zijn op dit moment nog niet te updaten, klanten die deze besturingssystemen gebruiken zullen dus ook nog niet (volledig) vrij gegeven worden. Indien u heeft gekozen de workaround toe te passen en de printers toch te gebruiken dan blijft deze situatie van kracht, klanten die het advies hebben opgevolgd en de printer functies uit hebben laten staan kunnen helaas dus nog niet printen tot de patch voor deze besturingssystemen uitgebracht wordt. Klanten die nog op 2012 of 2016 server systemen draaien zullen wij persoonlijk benaderen en de opties bespreken.

We kunnen op dit moment geen uitzondering maken, we kunnen geen klanten met voorrang patchen, we kunnen het onderhoudsvenster vanavond niet vervroegen of verlaten.

We rekenen op uw begrip en doen er alles aan om zo snel mogelijk alle systemen weer volledig te laten functioneren. Maar wel op een veilige en verantwoorde manier!

Hou er rekening mee dat uw server omgeving vanavond tussen 19u en 00u enige tijd verminderd beschikbaar is tijdens het patchen en herstarten!

juli 7, 2021 · 09:47 CET
Updaten

Afgelopen vrijdag brachten wij u op de hoogte van het ernstige lek dat is ontdekt in het systeem voor printer aansturing binnen alle Windows versies. Preventief hebben wij op advies van Microsoft en het NCSC vrijdagmiddag om 17u bij alle klanten deze printer functies uitgeschakeld.

Er is inmiddels voor enkele besturingssystemen een patch vrij gegeven door Microsoft, op dit moment wordt de patch door ons getest en daarna versneld uitgerold over de geschikte systemen. Helaas is deze patch nog niet beschikbaar voor de meest recente server besturingssystemen (Windows Server 2016 en 2019). Voor deze besturingssystemen wordt binnen enkele dagen een update verwacht.

Dit betekend dat veel klanten na het patchen van hun werkstations nog steeds niet volledig beschermd zijn omdat de servers (die verantwoordelijk zijn voor printing) nog kwetsbaar zijn. Het is vanaf dat moment wel mogelijk om lokaal een printer te installeren en beschikbaar te stellen op een werkstation. Dit kunnen we als tijdelijke oplossing faciliteren op enkele werkstations, dit is geen oplossing voor de gehele organisatie!!

Alle informatie die wij ontvangen communiceren we via onze status meldingen per e-mail en op https://status.arrowsict.nl , om onze helpdesk maximaal telefonisch beschikbaar te houden voor incidenten willen we u vriendelijk vragen om in geval van vragen of opmerkingen aangaande dit incident via e-mail via helpdesk@arrowsict.nl te communiceren.

Wij volgen de situatie op de voet en zullen zodra additionele patches beschikbaar zijn zullen we deze ook direct testen en uitrollen over de overige systemen. Zodra alle systemen zijn geupdate zullen we de print functies direct beschikbaar stellen.

Bedankt voor uw begrip.

juli 7, 2021 · 08:43 CET
Updaten

Afgelopen vrijdag brachten wij u op de hoogte van het ernstige lek dat is ontdekt in het systeem voor printer aansturing binnen alle Windows versies. Preventief hebben wij op advies van Microsoft en het NCSC vrijdagmiddag om 17u bij alle klanten deze printer functies uitgeschakeld.

Er is door Microsoft nog steeds geen patch beschikbaar gesteld om dit probleem definitief op te lossen, ook is nog niet bekend gemaakt wanneer deze patch uitgebracht wordt. Wij hadden goede hoop dat de patch op dinsdag, de standaard patch dag van Microsoft (Patch Tuesday) zou gebeuren echter is dit op dit moment nog steeds onzeker.

Wij begrijpen dat dit een zeer onwenselijke situatie is, echter is de ernst van het lek en het risico op misbruik is dusdanig hoog dat wij net als Microsoft en het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Veiligheid en Justitie adviseren de functies uitgeschakeld te laten. https://advisories.ncsc.nl/advisory?id=NCSC-2021-0571

Er is inmiddels een workaround gevonden die de schrijfbewerkingen richting het printer systeem beperkt, waardoor in theorie een hack geen of minder schade aan kan richten. Het is echter nog onbekend of deze maatregel werkelijk afdoende bescherming biedt.

Indien niet kunnen afdrukken de continuïteit van uw organisatie in gevaar brengt en u ondanks het dringende advies toch de printer service wil laten inschakelen stuur dan een e-mail naar helpdesk@arrowsict.nl waarin u aangeeft het risico te begrijpen maar toch printer functies wil inschakelen. Wij zullen dan eerst de extra maatregelen treffen die schrijfbewerkingen richting de printer service blokkeert om toch enige beveiliging tegen misbruik te kunnen bieden.

Alle informatie die wij ontvangen communiceren we via onze status meldingen per e-mail en op https://status.arrowsict.nl , om onze helpdesk maximaal telefonisch beschikbaar te houden voor incidenten willen we u vriendelijk vragen om in geval van vragen of opmerkingen aangaande dit incident via e-mail via helpdesk@arrowsict.nl te communiceren.

Wij volgen de situatie op de voet en zullen zodra Microsoft een patch uitbrengt deze versneld testen en installeren bij alle klanten.

Bedankt voor uw begrip.

juli 6, 2021 · 07:55 CET
Toezicht

Afgelopen vrijdag brachten wij u op de hoogte van het ernstige lek dat is ontdekt in het systeem voor printer aansturing binnen alle Windows versies. Preventief hebben wij bij vrijdagmiddag om 17u bij alle klanten deze printer functies uitgeschakeld.

Op dit moment heeft Microsoft nog geen patch voor dit probleem en blijft het advies om de printer functies voorlopig uitgeschakeld te laten. Wij begrijpen dat dit een zeer onwenselijke situatie is, echter is de ernst van het lek en het risico op misbruik dusdanig hoog dat ook wij adviseren de functies vooralsnog uitgeschakeld te laten.

Indien niet kunnen afdrukken de continuïteit van uw organisatie in gevaar brengt en u ondanks het dringende advies toch de printer service wil laten inschakelen stuur dan een e-mail naar helpdesk@arrowsict.nl waarin u aangeeft het risico te begrijpen maar toch printer functies wil inschakelen. Wij zullen dan eerst enkele maatregelen treffen die schrijfbewerkingen richting de printer service blokkeert, deze maatregel lijkt in veel gevallen de kans op en schade van een hack te beperken, echter geeft dit geen garantie en is er ook een kans op fouten in printer systemen.

Wij volgen de situatie op de voet en zullen zodra Microsoft een patch uitbrengt deze versneld testen en installeren bij alle klanten.

Bedankt voor uw begrip.

juli 5, 2021 · 07:58 CET
Probleem

Graag uw dringende aandacht voor onderstaande kritisch incident:

Omschrijving: Microsoft heeft ons op de hoogte gebracht van een zeer ernstige kwetsbaarheid in het printer systeem van alle Windows versies. Deze kwetsbaarheid stelt aanvallers in staat om op afstand willekeurige acties uit te voeren op volledig gepatchte Microsoft Windows-systemen, waaronder servers (zoals domain controllers, remote desktop servers, etc.).

Impact: Wanneer een kwaadwillende hierover beschikt en de print spooler service op het doelwitsysteem ingeschakeld en bereikbaar is, kan de kwetsbaarheid worden uitgebuit en kan op beheerders niveau toegang tot de servers verkregen worden. Hierdoor loopt het hele netwerk en alle bedrijfsdata gevaar.

Mitigatie Op dit moment zijn geen patches beschikbaar en wordt door onafhankelijke security experts en Microsoft aangeraden om print spooler services te deactiveren tot er een patch beschikbaar is. Dit betekend dat afdrukken in zijn geheel niet meer mogelijk is.

Acties: Wij nemen deze kwetsbaarheid zeer serieus en hebben gezocht naar een tussenweg om afdrukken mogelijk te maken en veiligheid te waarborgen, helaas blijkt er geen ander alternatief mogelijk te zijn.

We hebben daarom besloten om vanaf 17u alle Print Spooler Services preventief te stoppen op alle omgevingen. Dit betekend dat afdrukken niet meer mogelijk is.

Wij begrijpen dat dit een enorme impact kan hebben op uw bedrijfsvoering, echter is de ernst van de kwetsbaarheid dusdanig groot dat deze zware maatregelen nodig zijn om de veiligheid en continuïteit van uw organisatie te waarborgen. Geef deze melding ook zo spoedig mogelijk door aan uw collega’s zodat ze op de hoogte zijn van de beperkingen met afdrukken.

Indien u ondanks het advies van specialisten en Microsoft verwacht dat de printer services actief blijven stuur dan een e-mail naar helpdesk@arrowsict.nl waarin u aangeeft op de hoogte te zijn van de risico’s maar toch van de afdruk functionaliteiten gebruik wilt blijven maken.

Wij volgen de ontwikkelingen op de voet en zullen zodra er een patch vanuit Microsoft beschikbaar is deze versneld doorvoeren, echter is er nog geen zicht op wanneer dit gaat gebeuren.

Deze kwetsbaarheid is door Microsoft als officiële CVE aangemeld: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

juli 2, 2021 · 14:46 CET

← Terug