Kurzmeldung: PrintNightmare schlägt in Windows zu – UPDATE!

Kurzmeldung: PrintNightmare schlägt in Windows zu
Lesedauer: 3 Minuten.

Microsoft ist sich einer Sicherheitsanfälligkeit für Remotecodeausführung bewusst, die Windows Print Spooler betrifft, und hat dieser Sicherheitsanfälligkeit CVE-2021-34527 zugewiesen. Dies ist eine sich entwickelnde Situation und die entsprechende CVE wird aktualisiert, sobald mehr Informationen verfügbar sind.

Es besteht eine Sicherheitsanfälligkeit für Remotecodeausführung, wenn der Windows Print Spooler-Dienst unsachgemäß privilegierte Dateioperationen ausführt. Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, könnte beliebigen Code mit SYSTEM-Rechten ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.

Für einen Angriff muss ein authentifizierter Benutzer RpcAddPrinterDriverEx() aufrufen.

Minderung des Risikos

Um die Angriffsfläche zu reduzieren und als Alternative zur Deaktivierung des Druckens, überprüfen Sie die Mitgliedschaft und die Mitgliedschaft in verschachtelten Gruppen in den unten aufgeführten Gruppen. Versuchen Sie, die Mitgliedschaft so weit wie möglich zu reduzieren oder die Gruppen komplett zu leeren, wenn möglich. Aufgrund von Legacy-Konfigurationen und Abwärtskompatibilität können einige dieser Gruppen authentifizierte Benutzer oder Domänenbenutzer enthalten, wodurch jeder in der Domäne den Domänencontroller ausnutzen könnte.

Darunter fallen folgende User-Rollen:

  • Administrators
  • Domain Controllers
  • Read Only Domain Controllers
  • Enterprise Read Only Domain Controllers
  • Certificate Admins
  • Schema Admins
  • Enterprise Admins
  • Group Policy Admins
  • Power Users
  • System Operators
  • Print Operators
  • Backup Operators
  • RAS Servers
  • Pre-Windows 2000 Compatible Access
  • Network Configuration Operators Group Object
  • Cryptographic Operators Group Object
  • Local account and member of Administrators group

Bislang hat Microsoft keinen Sicherheitspatch angekündigt. Es ist davon auszugehen, dass das Update erst am Patchday (13. Juli) kommen wird. Bis dahin sollten Admins den Print-Spooler-Service deaktivieren, um Systeme gegen die geschilderte Attacke abzusichern.

Unser Servicedesk steht unseren Kunden natürlich in allen Belangen diesbezüglich zu Ihrer Verfügung!

Update: 07.07.2021: Microsoft hat Problemumgehungen für „PrintNightmare“ veröffentlicht.

Feststellen, ob der Druckerspooler-Dienst ausgeführt wird

Führen Sie Folgendes aus:

Get-Service -Name Spooler

Wenn der Druckspooler ausgeführt wird oder wenn der Dienst nicht auf deaktiviert gesetzt ist, wählen Sie eine der folgenden Optionen, um entweder den Druckspooler-Dienst zu deaktivieren oder den eingehenden Remote-Druck über die Gruppenrichtlinie zu deaktivieren:

Option 1 – Deaktivieren des Druckerspooler-Dienstes

Wenn das Deaktivieren des Druckspooler-Dienstes in Ihrem Unternehmen möglich ist, verwenden Sie die folgenden PowerShell-Befehle:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Auswirkungen der Problemumgehung Das Deaktivieren des Druckerspooler-Dienstes deaktiviert die Möglichkeit, sowohl lokal als auch remote zu drucken.

Option 2 – Eingehenden Remote-Druck über die Gruppenrichtlinie deaktivieren

Sie können die Einstellungen über Gruppenrichtlinien wie folgt konfigurieren:

Computerkonfiguration / Administrative Vorlagen / Drucker

Deaktivieren Sie die Richtlinie „Druckspooler darf Client-Verbindungen annehmen:“ (Allow Print Spooler to accept client connections:), um Remote-Angriffe zu blockieren.

Auswirkungen der Problemumgehung Diese Richtlinie blockiert den Remote-Angriffsvektor, indem sie eingehende Remote-Druckvorgänge verhindert. Das System funktioniert nicht mehr als Druckserver, aber das lokale Drucken auf ein direkt angeschlossenes Gerät ist weiterhin möglich.

Weitere Informationen finden Sie unter: Verwenden von Gruppenrichtlinieneinstellungen zum Steuern von Druckern.

Möchten Sie mehr über unseren Technologiepartner Microsoft erfahren? Wir beraten Sie umfassend und mit jahrelanger Erfahrung! Kontaktieren Sie uns jederzeit mit ihrem Anliegen!

Dieser Artikel beruht in Teilen auf einer Meldung unseres Technologiepartners Microsoft: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

Ihr Ansprechpartner bei VINTIN

Christian Krug

Mitglied der VINTIN Geschäftsführung

+49 (0)9721 67594 10

kontakt@vintin.de

Abonnieren Sie die Beiträge unseres VINTIN IT-Journals! In Zukunft werden Sie bei neuen Inhalten per Email kurz und bündig informiert.

Abonnieren Sie die Beiträge unseres VINTIN IT-Journals! In Zukunft werden Sie bei neuen Inhalten per Email kurz und bündig informiert.