CVE-2021-36958: Wieder Schwachstelle im Print-Spooler von Windows

    Drucker freigebenMicrosoft räumte eine weitere Sicherheits­lücke im Print-Spooler von Windows ein. Sie erlaubt An­greifern die Remote-Ausführung von belie­bigem Code mit den Privi­legien des SYSTEM-Kontos. Ein Patch für dieses Problem existiert der­zeit noch nicht, Micro­soft empfiehlt daher vor­beugende Maß­nahmen.

    Bereits im Juli wurden zwei Sicherheits­lücken im Print-Spooler bekannt, nämlich PrintNightmare (CVE-2021-34527) und CVE-2021-34481. Für beide hat Microsoft mittlerweile Patches bereitgestellt. Dennoch blieb als Lektion aus diesen Schwach­stellen, dass Anwender diese System­komponente deak­tivieren sollten, wenn sie nicht benötigt wird.

    Wenn Admins diesem Rat gefolgt sind, dann macht sich dies spätestes jetzt mit CVE-2021-36958 bezahlt. Diese Schwachstelle erlaubt ebenfalls die Remote-Ausführung von Code, und Angreifer können darüber Anwendungen installieren sowie das System im Prinzip vollständig übernehmen.

    Noch kein Exploit gemeldet

    Im Vergleich zu den beiden früheren Sicherheits­lücken bewertet Microsoft die nun aufgetretene mit einem niedrigeren Scrore (7.3 / 6.8). Der Grund dafür liegt offenbar in der nicht näher genannten Benutzer­aktivität, die zur Ausnutzung der Schwach­stelle erforderlich ist.

    Aktuell gibt es bereits einen funktions­fähigen Exploit-Code, eine Ausnutzung der Schwachstelle wurde bis dato aber nicht bekannt. Microsoft bietet zurzeit noch kein Update für die Beseitigung von CVE-2021-36958 an. Als Sofort­maßnahme empfiehlt der Hersteller erneut die Deaktivierung des Print-Spoolers auf allen Rechnern, die ihn nicht benötigen.

    Dies können auch PCs mit einem lokal angeschlossenen Printer sein, wenn man dort Aufträge dann direkt zum Drucker schickt. Die entsprechende Option heißt Druckaufträge direkt zum Drucker leiten und findet sich in den Drucker­eigenschaften unter dem Reiter Erweitert. Sie kann bei einigen Druckertreibern aber ausgegraut sein.

    Der Spooler lässt sich für lokale Drucker umgehen. Diese Option steht aber nicht überall zur Verfügung.

    Den Spooler kann man über PowerShell mit

    Stop-Service -Name Spooler -Force

    anhalten und mit

    Set-Service -Name Spooler -StartupType Disabled

    dauerhaft abschalten.

    Bevorzugt man für diese Aufgabe die Gruppen­richtlinien, dann heißt zuständige Einstellung Annahme von Clientverbindungen zum Druckerspooler zulassen. Sie findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Drucker.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Keine Kommentare