Laut Microsoft wird PrintNightmare bereits ausgenutzt und bietet eine Problemumgehung an

Wir haben vor zwei Tagen über einen neuen und ungepatchten Zero-Day-Exploit berichtet, der gerade veröffentlicht wurde und Angreifern einen Freiraum gewährt vollständige Remote-Code-Ausführungsfunktionen auf vollständig gepatchten Windows-Druckspooler-Geräten.

Der Hack mit dem Namen PrintNightmare ermöglicht es Angreifercode, mit vollen Systemprivilegien ausgeführt zu werden, und wurde zusammen mit Proof-of-Concept-Code veröffentlicht, war also reif, von Hackern ausgenutzt zu werden.

Der wichtigste schadensbegrenzende Faktor ist, dass Hacker einige (sogar niedrigprivilegierte) Anmeldeinformationen für das Netzwerk benötigen, aber für Unternehmensnetzwerke können diese leicht für etwa 3 US-Dollar erworben werden.

Microsoft hat nun endlich auf die Nachricht reagiert und den CVE-2021-34527 Windows Print Spooler Remote Code Execution Vulnerability Advisory veröffentlicht.

Microsoft sagt:

Microsoft ist sich einer Sicherheitsanfälligkeit bezüglich Remotecodeausführung bewusst und untersucht diese, die den Windows-Druckspooler betrifft, und hat dieser Sicherheitsanfälligkeit CVE-2021-34527 zugewiesen. Dies ist eine sich entwickelnde Situation und wir werden den CVE aktualisieren, sobald weitere Informationen verfügbar sind.

Es liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, wenn der Windows-Druckspoolerdienst privilegierte Dateivorgänge nicht ordnungsgemäß ausführt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit SYSTEM-Berechtigungen ausführen. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten mit vollen Benutzerrechten.

An einem Angriff muss ein authentifizierter Benutzer beteiligt sein, der RpcAddPrinterDriverEx() aufruft.

Bitte stellen Sie sicher, dass Sie die am 8. Juni 2021 veröffentlichten Sicherheitsupdates angewendet haben, und lesen Sie die Abschnitte „Häufig gestellte Fragen“ und „Problemumgehung“ in diesem CVE, um Informationen darüber zu erhalten, wie Sie Ihr System vor dieser Schwachstelle schützen können.

In ihrem Exploitability Assessment stellen sie fest, dass sie bereits Exploits entdeckt haben.

Microsoft bietet den folgenden Workaround an, der jedoch Ihren Druckspooler deaktiviert:

Stellen Sie fest, ob der Druckwarteschlangendienst ausgeführt wird (als Domänenadministrator ausführen)

Führen Sie Folgendes als Domänenadministrator aus:

Get-Service -Name Spooler

Wenn der Druckspooler ausgeführt wird oder der Dienst nicht deaktiviert ist, wählen Sie eine der folgenden Optionen aus, um entweder den Druckspoolerdienst zu deaktivieren oder eingehendes Remotedrucken über die Gruppenrichtlinie zu deaktivieren:

Option 1 – Deaktivieren Sie den Druckspooler-Dienst

Wenn das Deaktivieren des Druckspoolerdienstes für Ihr Unternehmen geeignet ist, verwenden Sie die folgenden PowerShell-Befehle:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Auswirkungen der Problemumgehung Das Deaktivieren des Druckspooler-Dienstes deaktiviert die Möglichkeit, sowohl lokal als auch remote zu drucken.

Option 2 – Deaktivieren Sie den eingehenden Remotedruck über die Gruppenrichtlinie

Sie können die Einstellungen auch per Gruppenrichtlinie wie folgt konfigurieren:

Computerkonfiguration / Administrative Vorlagen / Drucker

Deaktivieren Sie die Richtlinie „Druckspooler erlauben, Client-Verbindungen zu akzeptieren:“, um Remote-Angriffe zu blockieren.

Auswirkungen der Problemumgehung Diese Richtlinie blockiert den Remote-Angriffsvektor, indem sie eingehende Remote-Druckvorgänge verhindert. Das System fungiert nicht mehr als Druckserver, aber lokales Drucken auf einem direkt angeschlossenen Gerät ist weiterhin möglich.

Lesen Sie alle Details bei Microsoft hier.