CVE-2021-34481: Erneute Sicherheitslücke im Windows-Print-Spooler, Patch noch ausstehend

    Drucker freigebenNur kurz nach­dem Microsoft zwei gravierende Schwach­stellen im Print-Spooler (CVE-2021-1675 und CVE-2021-1675) be­seitigt hat, muss der Hersteller eine weitere Sicher­heits­lücke in dieser Kompo­nente ein­räumen. Sie erlaubt die Aus­führung von Befehlen als SYSTEM-Konto, einen Patch gibt es noch nicht.

    CVE-2021-1675, auch bekannt geworden als "PrintNightmare", zwang Microsoft zur Veröffent­lichung eines Updates außerhalb des normalen Zyklus. Die Gefahr durch Sicherheits­lücke galt als sehr hoch (8,8 von 10) und erlaubte Angreifern die Remote-Ausführung von beliebigem Code und die Erlangung von SYSTEM-Privilegien.

    Exploit-Code bereits im Umlauf

    Dagegen beschränkt sich die nun entdeckte Schwachstelle CVE-2021-34481 auf die mögliche Erhöhung der Benutzer­privilegien, eine Remote-Code-Ausführung lässt sie nicht zu. Dennoch wird ihr Risiko mit 7.8 als sehr hoch eingeschätzt.

    Das Risiko durch die Schwachstelle CVE-2021-34481 gilt als hoch.

    Bei CVE-2021-1675 gab es bereits vor dem Erscheinen des Patches funktions­fähigen Code zur Ausnutzung der Sicherheits­lücke. Das Gleiche gilt nun auch für CVE-2021-34481.

    Sofortmaßnahmen

    Bereits anlässlich von "PrintNightmare" empfahl Microsoft als Sofort­maß­nahme, den Print-Spooler auf allen Rechnern zu deaktivieren, wenn er dort nicht benötigt wird. Nachdem aktuell noch kein Patch für die neueste Schwach­stelle verfügbar ist, rät Microsoft erneut zu diesem Schritt.

    Den Spooler kann man auch auf PCs mit einem lokal angeschlossenen Drucker deaktivieren, weil dann Aufträge direkt und ohne Zwischen­speichern ausgedruckt werden. Die entsprechende Option heißt Druckaufträge direkt zum Drucker leiten und findet sich in den Drucker­eigenschaften unter dem Reiter Erweitert. Sie kann bei einigen Druckertreibern aber ausgegraut sein.

    Nicht benötigten Spooler generell abschalten

    Diese Maßnahme empfiehlt sich generell und unabhängig von der aktuellen Schwachstelle, weil sie die Angriffsfläche der Systeme reduziert. Nachdem innerhalb kurzer Zeit bereits drei kritische Schwach­stellen im Spooler aufgetreten sind, sollte man möglichen weiteren Sicherheits­lücken auf diese Weise vorbauen.

    In zentral verwalteten Umgebungen bietet sich der Einsatz von Gruppen­richtlinien an, um den Print-Spooler abzuschalten. Wie man dabei vorgeht, findet sich in diesem Beitrag.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Keine Kommentare