Tags: Sicherheit, Drucker, Schwachstellen
Nur kurz nachdem Microsoft zwei gravierende Schwachstellen im Print-Spooler (CVE-2021-1675 und CVE-2021-1675) beseitigt hat, muss der Hersteller eine weitere Sicherheitslücke in dieser Komponente einräumen. Sie erlaubt die Ausführung von Befehlen als SYSTEM-Konto, einen Patch gibt es noch nicht.
CVE-2021-1675, auch bekannt geworden als "PrintNightmare", zwang Microsoft zur Veröffentlichung eines Updates außerhalb des normalen Zyklus. Die Gefahr durch Sicherheitslücke galt als sehr hoch (8,8 von 10) und erlaubte Angreifern die Remote-Ausführung von beliebigem Code und die Erlangung von SYSTEM-Privilegien.
Exploit-Code bereits im Umlauf
Dagegen beschränkt sich die nun entdeckte Schwachstelle CVE-2021-34481 auf die mögliche Erhöhung der Benutzerprivilegien, eine Remote-Code-Ausführung lässt sie nicht zu. Dennoch wird ihr Risiko mit 7.8 als sehr hoch eingeschätzt.
Bei CVE-2021-1675 gab es bereits vor dem Erscheinen des Patches funktionsfähigen Code zur Ausnutzung der Sicherheitslücke. Das Gleiche gilt nun auch für CVE-2021-34481.
Sofortmaßnahmen
Bereits anlässlich von "PrintNightmare" empfahl Microsoft als Sofortmaßnahme, den Print-Spooler auf allen Rechnern zu deaktivieren, wenn er dort nicht benötigt wird. Nachdem aktuell noch kein Patch für die neueste Schwachstelle verfügbar ist, rät Microsoft erneut zu diesem Schritt.
Den Spooler kann man auch auf PCs mit einem lokal angeschlossenen Drucker deaktivieren, weil dann Aufträge direkt und ohne Zwischenspeichern ausgedruckt werden. Die entsprechende Option heißt Druckaufträge direkt zum Drucker leiten und findet sich in den Druckereigenschaften unter dem Reiter Erweitert. Sie kann bei einigen Druckertreibern aber ausgegraut sein.
Nicht benötigten Spooler generell abschalten
Diese Maßnahme empfiehlt sich generell und unabhängig von der aktuellen Schwachstelle, weil sie die Angriffsfläche der Systeme reduziert. Nachdem innerhalb kurzer Zeit bereits drei kritische Schwachstellen im Spooler aufgetreten sind, sollte man möglichen weiteren Sicherheitslücken auf diese Weise vorbauen.
In zentral verwalteten Umgebungen bietet sich der Einsatz von Gruppenrichtlinien an, um den Print-Spooler abzuschalten. Wie man dabei vorgeht, findet sich in diesem Beitrag.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Sofortmaßnahmen gegen PrintNightmare (CVE-2021-34527)
- Security Baseline für Windows 11 2022: Neue empfohlene Einstellungen für Drucker, Defender, NetBIOS, LSASS, VBS
- Apache log4j: Welche VMware-Produkte sind betroffen?
- Neue Gruppenrichtlinien in Windows 11: Einstellungen für Device-Management, DoH, Updates, PrintNightmare
- PrintNightmare: Probleme durch August-Update beheben
Weitere Links