Sicherheitslücke Print Nightmare: Windows-Patch schützt nicht vollumfänglich
Um gegen die Sicherheitslücke Print Nightmare vorzugehen, hat Microsoft jüngst einen Patch für alle Windows-Versionen herausgebracht. Forscher haben nun die Wirksamkeit des Patches getestet und haben herausgefunden, dass immer noch Attacken möglich sind.
Die Sicherheitslücke Print Nightmare, die unter der Bezeichnung CVE-2021-34527 von Microsoft bestätigt wurde, trieb in der vergangenen Zeit ihr Unwesen auf Windows-Rechnern, durch die Angreifer eine Schwachstelle im Druckerspooler-Service ausnutzten. Angreifer konnten nach einer erfolgreichen Attacke so einen beliebigen Code mit System-Rechten ausführen. Microsoft stufte diese Lücke als "kritisch" ein und brachte direkt einen Patch auf den Weg, der sich des Problems entledigen sollte und der nun auch für alle Windows-Versionen verfügbar ist.
Noch keine Entwarnung
Sicherheitsforscher haben jüngst herausgefunden, dass dieser Patch keinen vollumfänglichen Schutz bietet. Sollte in der Policy der Point-and-Print-Einschränkungen die Funktion "NoWarningNoElevationOnInstall" aktiviert sein, so sei der Patch wirkungslos. Davor warnt auch das CERT Coordination Center der Carnegie Mellon University in Pittsburgh. Die Policy erlaube es Computern ohne Installationsmedium, eine Verbindung zu entfernten Druckern aufzunehmen. Die Admins werden deshalb dazu angehalten, im Gruppenrichtlinieneditor zu überprüfen, ob der Dienst aktiviert und konfiguriert wurde.
Microsoft hat bereits einen Workaround für das Problem bereitgestellt, indem man z. B. den Druckerspooler-Service deaktiviert. Ob es einen neuen Patch zur Behebung der noch vorhandenen Sicherheitslücke geben wird, ist vorerst nicht geklärt.
Grundlegendes zu Print Nightmare
Die Print-Nightmare-Sicherheitslücke basiere auf einer fehlenden Prüfung (Access Control List ACL), wenn über folgende Funktionen ein Treiber geladen wird: AddPrinterDriverEx (), RpcAddPrinterDriver () und RpcAsyncAddPrinterDriver (). Ein Angreifer könne diese Lücke nutzen und einem System einen Treiber beifügen, der mit einem Schad-Code behaftet ist und dadurch einen eigenen Code mit System-Rechten ausführen. Laut den Sicherheitsforschern befasse sich der Patch von Microsoft weniger mit der fehlenden Prüfung, weswegen es Angreifern weiterhin möglich sei, Systeme mit durchlaufenem Patch attackieren zu können.
Auch interessant: Windows 11: Kostenlos für Nutzer von Windows 7, 8 und 10
Quelle: via Heise
Lokal angebundene Printer (USB) funktionieren dann immer noch.
Völlig irrelevant ob Du Ports im Router auf oder zu hast, ist ja nicht so als wenn wir auf unseren sauteuren Sonicwalls die Türen weit offen lassen. Wenn's nur simple Ports wären, kämen wir nicht ins Schwitzen. Wenn Du dir einen Exploit - von wo auch immer - fängst, geht das Theater auch bei dir los. Kann Ein Link, eine Website, eine exe ala schlachmichtot.exe oder sonst was sein, das dir Code unterjubelt. Das wäre so in etwa der vermutete Einstiegspunkt bei Privatpersonen.
Hier sind alle relevanten Information laborseitig zum nachlesen. Auch wird hier der Impact visuell schön dargestellt - einfach um die Sache weniger "abstrakt" zu machen.
[Ins Forum, um diesen Inhalt zu sehen]
Schönen Samstag gewünscht...
Zumindest wenn man die standardmäßige Druck-Funktion nutzt, keine Ahnung ob es eine Möglichkeit gibt ohne aktivierten Spooler-Dienst zu drucken.
Hatte diesen Jahrelang bei mir immer deaktiviert - erst mangels Drucker, dann weil ich nur sehr selten etwas drucke. Blöd ist: Mit dem aktuellen Drucker (Netzwerk-Drucker) muss ich diesen immer erst neuinstallieren wenn ich den Spooler-Dienst deaktiviert hatte.
Beim vorherigen Drucker gabs dieses Problem nicht, und das war auch ein Netzwerk-Drucker.
Also die Geschichte ist Bedrohungsstufe 3 und wirklich sehr fies. Vorrangig und primär werden erstmal Unternehmen mit den vorhandenen Exploits "abgeklappert". Die Lücke wird aktiv ausgenutzt, dies ist von MS bestätigt. Wir haben in dieser Woche ein 4 Stufiges (sicheres) Konzept entwickelt, um die Probleme des MS Hotfixes zu lösen :
- Einpflegen von drei [Ins Forum, um diesen Inhalt zu sehen] (Edit, ich meine natürlich Sicherheitsgruppen^^) im Active Directory inkl. GPOs in welche die versch. PCs/Server/etc verschoben werden
- Verknüpfung GPOs mit Powershell-Befehlen
- Einspielen MS Security-Patch über GPO
- Aktivierung ACL auf Servern/Clients mit Druckfunktion
- Deaktivierung Druckfunktion auf Servern/Clients ohne Druckfunktion
Ich würde aktuell auch jeder Privatperson empfehlen, den Druckspooler - wenn nicht benötigt - schlichtweg zu deaktivieren. Unternehmen mit einer fähigen IT sollten bereits aktiv geworden sein, allen anderen ist schnelles Handeln zu empfehlen.
Schönen Freitag noch.