Tags: Drucker, Sicherheit, Patch-Management, Schwachstellen
Kurz nach der Beseitigung der Schwachstelle CVE-2021-1675 im Print-Spooler von Windows trat eine weitere Sicherheitslücke in dieser Systemkomponente zutage. Darüber können Angreifer beliebigen Code remote ausführen und erhöhte Privilegien erlangen. Aktuell gibt es noch keinen Patch dafür, aber bereits Exploits.
Am 8. Juni veröffentlichte Microsoft ein Sicherheits-Update, das die Schwachstelle CVE-2021-1675 beseitigte. Bereits diese erhielt den Beinamen "PrintNightmare" und erlaubte Angreifern die Ausführung von beliebigem Code sowie den Zugang zu den Privilegien des SYSTEM-Kontos.
Die neue Sicherheitslücke CVE-2021-34527 eröffnet die gleichen Möglichkeiten für böswillige User und firmiert ebenfalls unter "PrintNightmare". Der von Microsoft gegen CVE-2021-1675 veröffentlichte Patch bietet hier aber keinen Schutz.
Update: Microsoft hat mittlerweile mit KB5004954 einen Fix für diese Sicherheitslücke veröffentlicht. Die in diesem Beitrag beschriebenen Maßnahmen zur Deaktivierung des Spoolers auf Rechnern, die ihn nicht benötigen, sollte man dennoch in Erwägung ziehen. Damit reduziert man die Angriffsfläche und baut möglichen künftigen Schwachstellen in dieser Komponente vor.
Code für Exploits bereits im Umlauf
Verschärfend kommt hinzu, dass bereits Proof of Concepts zur Ausnutzung dieser Schwachstelle in verschiedenen Programmiersprachen kursieren. Darunter findet sich auch ein PowerShell-Script von John Hammond, das er auf GitHub veröffentlicht hat.
Entsprechend dringlich ist es für Admins, bis zur Verfügbarkeit einer Lösung die Systeme gegen Exploits von CVE-2021-34527 zu schützen. Die einfachste von Microsoft empfohlene Maßnahme besteht erwartungsgemäß darin, den Spooler-Service auf allen Rechner abzuschalten, auf denen er nicht benötigt wird, weil dort kein Drucker angeschlossen ist.
Spooler deaktivieren
Standardmäßig läuft der Spooler-Dienst sowohl unter Windows 10 als auch auf Windows Server. Besonderes Augenmerk sollte Domain Controllern gelten, weil auch dort oft der Spooler-Service aktiv ist. Davon kann man sich leicht durch den PowerShell-Befehl
Get-Service -Name spooler
überzeugen.
Per Script hält man den Service folgendermaßen an und ändert seinen Starttyp auf Disabled:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
In größeren Umgebungen wird man den Spooler bevorzugt über die Gruppenrichtlinien deaktivieren. Diesem Zweck dient die Einstellung Annahme von Clientverbindungen zum Druckerspooler zulassen unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Drucker. Sie muss deaktiviert werden.
Lokal angeschlossene Drucker lassen sich auf diesen PCs weiterhin nutzen, sie sind nur nicht in der Lage, als Print-Server zu fungieren. Um freigegebene Drucker dort nicht über das GPO zu blockieren, könnte man für das GPO einen WMI-Filter nach diesem Muster verwenden:
select * FROM win32_Printer where ShareName <> ""
Absicherung der Print-Server
Der Spooler-Dienst würde auf diesen Rechnern dann nicht deaktiviert und sie bleiben somit über CVE-2021-34527 angreifbar. Dies gilt indes für Print-Server generell.
Für sie empfiehlt Microsoft, eine Reihe von eingebauten Sicherheitsgruppen so weit wie möglich zu leeren. Besonders problematisch scheint zu sein, wenn Authenticated Users in Pre-Windows 2000 Compatible Access enthalten ist.
Eine weitere Maßnahme betrifft Point and Print. Diese Technik hat zwar nicht unmittelbar mit der Schwachstelle zu tun, kann aber Angreifern den Zugang erleichtern. Daher sollten Admins dafür sorgen, dass bei der Installation und dem Update von Printern entsprechende Hinweise und ein UAC-Prompt angezeigt wird.
Dies lässt sich wieder über Gruppenrichtlinien erreichen. Die zuständige Einstellung heißt Point-and-Print-Einschränkungen. Sie findet sich ebenfalls unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Drucker.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- CVE-2021-34481: Erneute Sicherheitslücke im Windows-Print-Spooler, Patch noch ausstehend
- Reparatur-Tool für Hafnium-Angriffe auf Exchange, sichere CUs für Exchange 2016/2019
- Alte oder ungepatche Exchange-Server können künftig keine Mails an Microsoft 365 senden
- Intune verbessert Management von Windows-Updates
- November-Update bringt 3 Patches für Domain-Controller (CVE-2022-37966, CVE-2022-37967, CVE-2022-38023)
Weitere Links
2 Kommentare
Microsoft hat mittlerweile ein Sicherheitsupdate (KB5004945) veröffentlicht, welches die Lücke schließt
Danke! Das Update hat sich fast mit meinem Beitrag überschnitten.