[Warning] PrintNightmare: Kritische Sicherheitslücke in Microsoft Windows (Print Spooler Service) - Workarounds verfügbar
Stephan Richter
richter at cert.at
Thu Jul 1 13:48:49 CEST 2021
1. Juli 2021
Beschreibung
Vorab: Es handelt sich bei dieser Schwachstelle mit dem Namen
"PrintNightmare" nicht um die bereits unter CVE-2021-1675 bekannte
Anfälligkeit.
Im Zuge der Veröffentlichung eines Patches für CVE-2021-1675 durch
Microsoft am 8. Juni wurde ein Report durch die Entdecker dieser
Schwachstelle publiziert, welcher die genauen technischen Details
beschreibt. Dies hat wiederum zu einer Publikation anderer
Sicherheitsforscher geführt, welche der Ansicht waren, die selbe
entdeckt zu haben. Dass es sich um eine andere Schwachstelle ohne
verfügbaren Patch, von den Entdeckern "PrintNightmare" genannt,
handelte, war diesen zu diesem Zeitpunkt nicht bewusst. Obwohl der
Proof-Of-Concept Code zur Ausnutzung von "PrintNightmare" wieder
entfernt wurde, sind Kopien davon angefertigt worden und wurden bereits
zu vollfunktionsfähigen Exploits weiterentwickelt.
Es gibt nach derzeitigem Stand keine Information zu einem Patch durch
Microsoft. Workarounds sind verfügbar.
CVE-Nummern: N/A
CVSS Base Score: N/A
Auswirkungen
Das Ausnutzen der Schwachstelle im Microsoft Windows-Druckspoolerdienst,
der den Zugriff auf die Funktion RpcAddPrinterDriverEx() nicht
ein-schränkt, kann es authentifizierten Remote-AngreiferInnen
ermöglichen, beliebigen Code mit SYSTEM-Rechten auf einem anfälligen
System auszu-führen.
Betroffene Systeme
Alle unterstützten Versionen von Microsoft Windows und Microsoft Windows
Server.
Abhilfe
Stoppen und Deaktivieren des Print Spooler Service.
Dieser Workaround deaktiviert allerdings jegliche Druckfunktionalität
auf den betroffenen Systemen, vor Deaktivierung des Dienstes ist daher
abzuwägen, ob dieser auf dem entsprechenden System unbedingt benötigt
wird.
Ein weiterer Workaround gegen die aktuell vorhandenen Exploits, der
Drucken weiterhin ermöglicht, ist die Einschränkung der Access Control
Lists (ACL) auf C:\Windows\System32\spool\drivers wie hier[1] beschrieben.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
__________________________________________________________________
[1]
https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/
Informationsquelle(n):
Artikel bei heise.de
https://www.heise.de/news/PrintNightmare-Schadcode-Luecke-in-Windows-bedroht-ganze-Netzwerke-6124838.html
CERT/CC Vulnerability Note VU#383432 (englisch)
https://www.kb.cert.org/vuls/id/383432
--
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20210701/27e987b5/attachment.sig>
More information about the Warning
mailing list