05.07.2021

Kritische Sicherheitslücke beim Printer-Spooler-Service von Windows – Wir unterstützen Sie.

Aktuell ist Exploit-Code im Umlauf, der an eine bislang ungelöste Sicherheitslücke in vielen Windows-Versionen ansetzt. Ein Patch ist derzeit noch nicht verfügbar. Das Problem findet sich im Printer-Spooler-Service von Windows. Nach aktuellen Informationen sind davon alle Versionen von Windows 7 SP1 bis Server 2019 betroffen. Es kann Schadcode mit Systemrechten ausgeführt werden. Geschieht dies auf einem Domain-Server, könnten sich Angreifer im Netzwerk ausbreiten und weitere Computer mit Malware infizieren.

Wie kam es dazu?

Am Patchday im Juni hatte Microsoft eine ähnliche Sicherheitslücke (CVE-2021-1675) in Printer Spooler geschlossen. Für die neue Schwachstelle existiert bislang noch keine CVE-Nummer und auch keine Einstufung des Bedrohungsgrads. Sicherheitsforscher sprechen aber von einem kritischen Bug.

Mitarbeitende eines Cyber-Security-Unternehmens haben versehentlich einen Exploit-Code für die neue Lücke veröffentlicht. Erst danach stellte sich heraus, dass der Code gar nicht für die bereits geschlossene Lücke bestimmt war, sondern für eine neue Schwachstelle. Obwohl der Proof-of-Concept-Code zur Ausnutzung von „PrintNightmare“ wieder entfernt wurde, sind Kopien davon angefertigt worden.

Betroffene Systeme.

Betroffen sind alle unterstützten Versionen von Microsoft Windows und Microsoft Windows Server.

Temporäre Lösung.

  • Stoppen und deaktivieren des Print-Spooler-Services. Dieser Workaround deaktiviert allerdings jegliche Druckfunktionalität auf den betroffenen Systemen. Vor der Deaktivierung des Dienstes ist daher abzuwägen, ob dieser auf dem entsprechenden System unbedingt benötigt wird.
  • Ein weiterer Workaround gegen die aktuell vorhandenen Exploits, der das Drucken weiterhin ermöglicht, ist die Einschränkung der Access Control Lists (ACL) auf C:\Windows\System32\spool\drivers, wie hier beschrieben.

Gerne unterstützen wir Sie bei der externen Überprüfung Ihrer Systeme. Wenden Sie sich dazu gerne an it-security@bechtle.com oder direkt an Ihren persönlichen Bechtle Ansprechpartner.


Weitere Informationen.

heise.de: PrintNightmare: Schadcode-Lücke in Windows bedroht ganze Netzwerke

Carnegie Mellon University: Microsoft Windows Print Spooler allows for RCE

Beitrag weiterempfehlen

Diesen Beitrag haben wir veröffentlicht am 05.07.2021.