niiu

Microsoft: Windows-Druckdienst hat wieder eine Sicherheitslücke

 

Wenn Sie als Systemadministrator oder in einem anderen Bereich der Cybersicherheit arbeiten, kennen Sie wahrscheinlich die Sicherheitslücke PrintNightmare und die Veröffentlichung eines Proof-of-Concept-Exploits. Für den Fall, dass Sie noch nichts über diese Sicherheitslücke wissen und warum es wichtig ist, Maßnahmen zu ergreifen, um sie zu entschärfen, finden Sie hier alle verfügbaren Informationen.

Was ist geschehen?

In den Sicherheitsbulletins vom Juni behebt Microsoft eine Sicherheitslücke (CVE-2021-1675) im Windows-Druckwarteschlangendienst, dem Dienst, der Druckaufträge verarbeitet. Ursprünglich wurde diese Sicherheitslücke als sehr wichtig eingestuft, aber am 21. Juni stufte Microsoft die Sicherheitslücke auf kritisch herauf, da ein Angreifer die Möglichkeit hat, sie auszunutzen, um Code aus der Ferne auszuführen.

Um die Ernsthaftigkeit dieser Sicherheitslücke zu demonstrieren, haben Forscher einer chinesischen Sicherheitsfirma am 28. Juni einen Tweet gepostet, der zeigt, wie sowohl die Remotecodeausführung als auch die lokale Privilegienerweiterung erreicht werden können. In der Annahme, dass es sich um dieselbe Sicherheitslücke handelt, veröffentlichten Forscher eines anderen chinesischen Sicherheitsunternehmens einen Bericht, in dem sie diese Sicherheitslücke zusammen mit einem Exploit als Proof-of-Concept analysierten und die Schwachstelle PrintNightmare nannten.

Einigen Experten zufolge handelt es sich bei PrintNightmare jedoch nicht um dieselbe Schwachstelle, die Microsoft in seinen Sicherheitsbulletins vom 8. Juni behoben hat, sondern um eine völlig neue 0-Day-Schwachstelle in der Windows-Druckerwarteschlange, für die der entsprechende Sicherheitspatch noch nicht veröffentlicht wurde. Erschwerend kommt hinzu, dass der Proof of Concept zwar innerhalb weniger Stunden zurückgezogen wurde, es aber nicht lange dauerte, bis er von anderen Nutzern erneut hochgeladen wurde.

Schwere der Schwachstelle

Leider ist diese neue Sicherheitslücke sehr schwerwiegend, da der veröffentlichte Exploit verwendet werden kann, um das System vollständig zu kompromittieren. Es wird viel Wert darauf gelegt, dass verschiedene Versionen von Windows Server (2004, 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 20H2) betroffen sein können, obwohl einigen Quellen zufolge auch Desktop-Versionen betroffen sind (Windows 7, 8.1, RT 8.1, 10).

Das Hauptziel für Angreifer, die versuchen, diese Schwachstelle auszunutzen, sind Domänencontroller, da authentifizierte Benutzer in einem Netzwerk den veröffentlichten Exploit nutzen können, ohne dass eine vorherige Ausweitung der Berechtigungen erforderlich ist. Dies ist eine besonders gefährliche Situation, da Angreifer jeden Computer im Netzwerk mit einem der bekannten und weit verbreiteten Angriffsvektoren infizieren können (bösartige Datei im Anhang einer E-Mail, Link zum Herunterladen von Malware usw.) und, sobald sie Zugang zu einem Computer im Unternehmensnetzwerk haben, PrintNightmare auf dem Domänencontroller verwenden, sich Administratorrechte verschaffen und jede beliebige bösartige Aktion durchführen können, die sie beabsichtigen (Informationsdiebstahl, Computerverschlüsselung usw.).

Wenn wir zurückblicken, erinnern wir uns, dass Stuxnet, die Malware, die 2010 das iranische Atomprogramm angriff, ebenfalls eine Schwachstelle im Druckwarteschlangen-Dienst ausnutzte, um ihr Ziel zu erreichen. In den letzten Monaten hat Microsoft bis zu drei Fehler behoben, die diesen Dienst betreffen. Es handelt sich also um ein wiederkehrendes Problem, das bei solchen Gelegenheiten die Sicherheit von Computern in Unternehmen jeder Größe gefährden kann.

Zu treffende Maßnahmen

Es ist normal, dass sich viele fragen, welche Maßnahmen ergriffen werden können, um die Auswirkungen dieser Schwachstelle zu mildern, da der im Juni veröffentlichte Patch sie nicht behebt. Die drastischste Maßnahme wäre die Deaktivierung des Druckwarteschlangen-Dienstes, aber das ist in Unternehmen, in denen die Mitarbeiter ständig Dokumente drucken müssen, nicht praktikabel.

Aus diesem Grund wurden schnell Möglichkeiten gefunden, die Auswirkungen dieser Schwachstelle abzumildern, ohne den betroffenen Dienst vollständig zu deaktivieren, z. B. durch die Schaffung von Einschränkungen. Es sollte auch beachtet werden, dass fortschrittliche Sicherheitslösungen wie die von ESET über ein spezielles Modul verfügen, um die Verwendung von Exploits zu blockieren, wie es 2017 bei WannaCry der Fall war.

Die endgültige Lösung wird jedoch erst erscheinen, wenn Microsoft den entsprechenden Sicherheitspatch zur Behebung dieser neuen Sicherheitslücke veröffentlicht. Es ist noch nicht klar, ob dieser Patch in seinem monatlichen Zyklus am zweiten Dienstag des Monats veröffentlicht wird oder ob er aufgrund seines Schweregrads früher erscheint. In jedem Fall wird seine Installation dringend empfohlen, sobald er verfügbar ist.

Share on facebook
Share on twitter
Share on pinterest
Share on telegram
Share on whatsapp
Share on skype

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.