Sofortmaßnahmen gegen PrintNightmare (CVE-2021-34527)

    Drucker freigebenKurz nach der Besei­tigung der Schwach­stelle CVE-2021-1675 im Print-Spooler von Windows trat eine weitere Sicher­heits­lücke in dieser System­kompo­nente zutage. Darüber können Angreifer belie­bigen Code remote aus­führen und erhöhte Privi­legien erlangen. Aktuell gibt es noch keinen Patch dafür, aber bereits Exploits.

    Am 8. Juni veröffent­lichte Microsoft ein Sicherheits-Update, das die Schwach­stelle CVE-2021-1675 beseitigte. Bereits diese erhielt den Beinamen "PrintNightmare" und erlaubte Angreifern die Ausführung von beliebigem Code sowie den Zugang zu den Privilegien des SYSTEM-Kontos.

    Die neue Sicherheitslücke CVE-2021-34527 eröffnet die gleichen Möglichkeiten für böswillige User und firmiert ebenfalls unter "PrintNightmare". Der von Microsoft gegen CVE-2021-1675 veröffentlichte Patch bietet hier aber keinen Schutz.

    Update: Microsoft hat mittler­weile mit KB5004954 einen Fix für diese Sicherheits­lücke veröffent­licht. Die in diesem Beitrag beschriebenen Maßnahmen zur Deaktivierung des Spoolers auf Rechnern, die ihn nicht benötigen, sollte man dennoch in Erwägung ziehen. Damit reduziert man die Angriffs­fläche und baut möglichen künftigen Schwach­stellen in dieser Komponente vor.

    KB5004954 ist seit gestern Abend in WSUS verfügbar.

    Code für Exploits bereits im Umlauf

    Verschärfend kommt hinzu, dass bereits Proof of Concepts zur Ausnutzung dieser Schwachstelle in verschiedenen Programmier­sprachen kursieren. Darunter findet sich auch ein PowerShell-Script von John Hammond, das er auf GitHub veröffentlicht hat.

    Entsprechend dringlich ist es für Admins, bis zur Verfügbarkeit einer Lösung die Systeme gegen Exploits von CVE-2021-34527 zu schützen. Die einfachste von Microsoft empfohlene Maßnahme besteht erwartungs­gemäß darin, den Spooler-Service auf allen Rechner abzuschalten, auf denen er nicht benötigt wird, weil dort kein Drucker angeschlossen ist.

    Spooler deaktivieren

    Standardmäßig läuft der Spooler-Dienst sowohl unter Windows 10 als auch auf Windows Server. Besonderes Augenmerk sollte Domain Controllern gelten, weil auch dort oft der Spooler-Service aktiv ist. Davon kann man sich leicht durch den PowerShell-Befehl

    Get-Service -Name spooler

    überzeugen.

    Der Spooler läuft auf Windows Server auch dann, wenn die Rolle Druck- und Dokumentdienste nicht installiert ist.

    Per Script hält man den Service folgendermaßen an und ändert seinen Starttyp auf Disabled:

    Stop-Service -Name Spooler -Force
    Set-Service -Name Spooler -StartupType Disabled

    In größeren Umgebungen wird man den Spooler bevorzugt über die Gruppen­richtlinien deaktivieren. Diesem Zweck dient die Einstellung Annahme von Clientverbindungen zum Druckerspooler zulassen unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Drucker. Sie muss deaktiviert werden.

    Spooler per Gruppenrichtlinien deaktivieren

    Lokal angeschlossene Drucker lassen sich auf diesen PCs weiterhin nutzen, sie sind nur nicht in der Lage, als Print-Server zu fungieren. Um freigegebene Drucker dort nicht über das GPO zu blockieren, könnte man für das GPO einen WMI-Filter nach diesem Muster verwenden:

    select * FROM win32_Printer where ShareName <> ""

    Absicherung der Print-Server

    Der Spooler-Dienst würde auf diesen Rechnern dann nicht deaktiviert und sie bleiben somit über CVE-2021-34527 angreifbar. Dies gilt indes für Print-Server generell.

    Für sie empfiehlt Microsoft, eine Reihe von eingebauten Sicherheits­gruppen so weit wie möglich zu leeren. Besonders problematisch scheint zu sein, wenn Authenticated Users in Pre-Windows 2000 Compatible Access enthalten ist.

    Eine weitere Maßnahme betrifft Point and Print. Diese Technik hat zwar nicht unmittelbar mit der Schwach­stelle zu tun, kann aber Angreifern den Zugang erleichtern. Daher sollten Admins dafür sorgen, dass bei der Installation und dem Update von Printern entsprechende Hinweise und ein UAC-Prompt angezeigt wird.

    Warnungen und die Notwendigkeit zur Rechteanhebung für Point and Print lassen sich per GPO konfigurieren.

    Dies lässt sich wieder über Gruppenrichtlinien erreichen. Die zuständige Einstellung heißt Point-and-Print-Einschränkungen. Sie findet sich ebenfalls unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Drucker.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    2 Kommentare

    RumbleStilzchen sagt:
    7. Juli 2021 - 10:31

    Microsoft hat mittlerweile ein Sicherheitsupdate (KB5004945) veröffentlicht, welches die Lücke schließt

    Bild von Wolfgang Sommergut
    7. Juli 2021 - 11:59

    Danke! Das Update hat sich fast mit meinem Beitrag überschnitten.