Start Microsoft Microsoft schlägt Problemumgehungen für kritische, ungepatchte PrintNightmare-Exploits vor

Microsoft schlägt Problemumgehungen für kritische, ungepatchte PrintNightmare-Exploits vor

3
0


Rotes und blaues Sicherheitsschloss

Als Sicherheitsforscher versehentlich technische Details einer Sicherheitslücke bei der Remoteausführung im Windows-Druckspooler veröffentlichten und (fälschlicherweise) dachten, sie sei gepatcht, gab es Bedenken hinsichtlich der Auswirkungen.

Und das zu Recht. Microsoft hat die schlimmsten Befürchtungen der Leute bestätigt und erklärt, dass die Sicherheitslücke von PrintNightmare bereits ausgenutzt wird. Es gibt jedoch eine kleine gute Nachricht. Das Unternehmen schlägt auch einige Problemumgehungen vor, mit denen Systeme geschützt werden können, bis ein Patch erstellt wird.

Siehe auch:

Die Schwachstelle PrintNightmare wird als CVE-2021-34527 verfolgt und ist in ihren potenziellen Auswirkungen ziemlich ernst. Allerdings muss ihm noch ein CVSS-Rating zugewiesen werden, da es noch untersucht wird.

In einer Auflistung im Microsoft Security Response Center schreibt das Unternehmen: „Microsoft ist sich einer Sicherheitsanfälligkeit bezüglich Remotecodeausführung bewusst und untersucht diese, die den Windows-Druckspooler betrifft, und hat dieser Sicherheitsanfälligkeit CVE-2021-34527 zugewiesen wird das CVE aktualisieren, sobald weitere Informationen verfügbar sind“.

Microsoft geht weiter zu erklären ein wenig über die Funktionsweise der Schwachstelle:

Es liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, wenn der Windows-Druckspoolerdienst privilegierte Dateivorgänge nicht ordnungsgemäß ausführt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit SYSTEM-Berechtigungen ausführen. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten mit vollen Benutzerrechten.

An einem Angriff muss ein authentifizierter Benutzer beteiligt sein, der RpcAddPrinterDriverEx() aufruft.

Microsoft rät dazu, die am 8. Juni veröffentlichten Sicherheitsupdates zu installieren und bietet auch einige Workarounds an.

Bestimmen, ob der Druckspooler-Dienst ausgeführt wird (als Domänenadministrator ausführen)

Führen Sie als Domänenadministrator Folgendes aus:

Get-Service -Namenspooler

Wenn der Druckspooler ausgeführt wird oder der Dienst nicht deaktiviert ist, wählen Sie eine der folgenden Optionen aus, um entweder den Druckspooler-Dienst zu deaktivieren oder den eingehenden Remote-Druck über Gruppenrichtlinien zu deaktivieren:

Option 1 – Deaktivieren Sie den Druckspooler-Dienst

Wenn das Deaktivieren des Druckspoolerdienstes für Ihr Unternehmen geeignet ist, verwenden Sie die folgenden PowerShell-Befehle:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Auswirkung der Problemumgehung Das Deaktivieren des Druckspoolerdienstes deaktiviert die Möglichkeit, sowohl lokal als auch remote zu drucken.

Option 2 – Deaktivieren des eingehenden Remote-Druckens über die Gruppenrichtlinie

Sie können die Einstellungen auch über Gruppenrichtlinien wie folgt konfigurieren:

Computerkonfiguration / Administrative Vorlagen / Drucker

Deaktivieren Sie die Richtlinie „Druckspooler erlauben, Clientverbindungen zu akzeptieren:“, um Remoteangriffe zu blockieren.

Auswirkung der Problemumgehung Diese Richtlinie blockiert den Remote-Angriffsvektor, indem eingehende Remote-Druckvorgänge verhindert werden. Das System funktioniert nicht mehr als Druckserver, aber lokales Drucken auf einem direkt angeschlossenen Gerät ist weiterhin möglich.



Vorheriger ArtikelCloud-Fehlkonfigurationen machen 90 Prozent der Unternehmen anfällig
Nächster ArtikelWindows 11 nimmt wichtige Änderungen an der Funktionsweise von Systemupdates vor

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein