Microsoft: Kritische Schwachstelle in Druckerspooler

Microsoft: Kritische Schwachstelle in Druckerspooler

Am Patchday im Juni hat Microsoft Informationen zur Sicherheitslücke CVE-2021-1675 veröffentlicht. Nun wurde eine weitere Schwachstelle identifiziert, die noch keine CVE-Nummer und damit keine Einstufung des Bedrohungsgrads besitzt. Im folgenden Beitrag haben wir alle wichtigen Informationen dazu für Sie zusammengefasst:

Diese identifizierte Sicherheitslücke betrifft eine Warteschlange, die von Windows-Systemen zur Verarbeitung von Druckaufträgen (Drucker Spooler) verwendet wird. Alle unterstützten Versionen von Microsoft Windows und Microsoft Windows Server sind von dieser Schwachstelle betroffen. Ursprünglich wurde angenommen, dass das Ausnutzen dieser Sicherheitslücke für Angreifer eher aufwendig ist. Fakt ist, dass die Lücke jedoch mit gültigen Anmeldeinformationen aus der Ferne durchaus mit einfachen Mitteln ausgenutzt werden kann. Die Folgen können sich in Codeausführungen oder Privilegienerweiterungen äußern. Dies ermöglicht Angreifern die Installation von Programmen, Einblick in Daten sowie das Anlegen oder Löschen neuer Systembenutzer mit vollen Rechten.

Doch wie kam es zu dieser Sicherheitslücke? – Ein Cybersicherheitsunternehmen hatte versehentlich Exploit-Code für eine Sicherheitslücke veröffentlicht. Später stellte sich heraus, dass der Code für eine neue Sicherheitslücke bestimmt war und nicht für eine, die bereits geschlossen worden war. Der Proof-of-Concept-Code zum Ausnutzen von „PrintNightmare“ wurde schließlich wieder entfernt. Jedoch wurden in diesem Zeitraum bereits entsprechende Kopien erstellt.

Der Exploit mit dem Namen „Printnightmare“ bezieht sich auf CVE-2021-1675 und nutzt eine ungepatchte Sicherheitslücke im Spooler-Dienst aus. Microsoft hat im Juni ein Update zur Verfügung gestellt, ein Angriff auf den Spooler-Dienst ist jedoch weiterhin möglich.

Das BSI sowie andere Sicherheitsexperten haben herausgefunden, dass auf Windows Server 2019- und Windows Server 2016-Domänencontrollern, die vollständig mit den neuesten Sicherheitsupdates aktualisiert wurden, die Anmeldedaten eines unprivilegierten Domänenbenutzers verwendet werden können. So wird ein Exploit und somit ein Fernzugriff ermöglicht. Der veröffentlichte Exploit-Code wurde außerdem bereits in ein Angriffstool eingebettet.

Handlungsempfehlungen:

Um die beschriebene Schwachstelle vorläufig zu schließen, empfehlen wir die folgenden Schritte:

Analysieren Sie zunächst, ob der Printer Spooler funktioniert und den Get-Service -Name Spooler als Domänenadministrator ausführt. Wenn der Service läuft oder nicht deaktiviert ist, sollte eine der folgenden Optionen gewählt werden:

Option 1: Printer Spooler Service deaktivieren

• Die folgenden PowerShell-Befehle ausführen:
• Stop-Service -Name Spooler -Force
• SetService -Name Spooler -StartupType Disabled

Wichtig: Das Ausführen dieser Befehle hat zur Folge, dass sowohl lokal als auch über Remotezugriff nicht mehr gedruckt werden kann.

Option 2: Eingehende Druckbefehle über Remotezugriff mit einer Gruppenrichtlinie verbieten

• Über die Gruppenrichtlinienverwaltung kann eine neue Gruppenrichtlinie angelegt  werden:
  • Computer Konfiguration / Administrative Vorlagen / Drucker die Option Drucker
  • Deaktivierung von „Spooler erlauben Verbindungen von Clients anzunehmen“
  • Wichtig: Das Abwählen dieser Option hat zur Folge, dass keine Remotezugriffe  mehr zugelassen werden. Dadurch funktioniert das System nicht mehr als Druckerserver. Lokal direkt verbundene Drucker können dennoch angesteuert werden.

• Prüfen, dass folgender Registry-Key nicht gesetzt ist:

• • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  • EnableLUA = 0
  • Sollte der Key gesetzt sein, muss dieser auf den Wert 1 geändert werden

• Zusätzlich zu den schon genannten Maßnahmen empfiehlt Microsoft, die Treiberinstallation auf den Systemen auf Administratoren einzuschränken (Registry-Key: RestrictDriverInstallationToAdministrators).