Kritische Schwachstelle in Druckerspooler auf Microsoft Systemen (Update)
Das BSI informiert in einer Sicherheitswarnung über eine kritische Schwachstelle im Druck-Spooler-Dienst von Microsoft Systemen (CVE-2021-1675). Diese erlaubt es Angreifern eigenen Code auszuführen (Remote Code Execution) und erweiterte Rechte (Privilege Escalation) zu erlangen.
In der Nacht vom 29.06. auf 30.06 wurde Exploit-Code (genannt PrintNightmare [2,3]) veröffentlicht, der die Schwachstelle ausnutzt. Es existiert von Microsoft noch kein Patch, daher sind sämtliche Microsoft Systeme, auf denen der Spooler-Dienst aktiv ist, derzeit angreifbar. Bei Domänencontrollern ist der Spooler-Dienst standardmäßig aktiviert, ohne jegliche Härtungsmaßnahmen.
Es wird dringend empfohlen, Microsoft Spooler-Dienste zu deaktivieren und erst wieder zu aktivieren, sobald ein Patch vorliegt und eingespielt wurde. Dies führt allerdings dazu, dass nicht mehr gedruckt werden kann.
Anmerkung von ITsec.KIM: Ist dies nicht möglich, sollte zumindest der Zugriff auf den Spooler-Dienst durch eine lokale Firewall auf die absolut notwendigen Clients beschränkt werden.
Weitere Informationen sowie zusätzliche Empfehlungen des BSI finden sich im angehängten Dokument.
Update vom 07.07.21
Microsoft hat einen Sicherheitspatch (KB5004945) bereit gestellt. Dieser steht sofort auch ausserhalb des üblichen Patchdays (out-of-bands) über das Windows Update zur Verfügung. Microsoft empfiehlt das Update unverzüglich Einzuspielen.
Update vom 02.07.21
Von Microsoft wurde ein Sicherheitshinweis veröffentlicht [MS2021c]. Die aktuelle Spooler-Schwachstelle wird darin unter CVE-2021-34527 geführt.
Neben der bereits beschriebenen Deaktivierung des Spooler-Dienstes (Option 1) wird im Sicherheitshinweis von Microsoft auch ein zweiter Workaround aufgeführt: "Disable inbound remote printing through Group Policy" (Option 2) [MS2021c]. Das Deaktivieren der GPO "Allow Print Spooler to accept client connections" führt laut Hersteller dazu, dass eingehende Druckaufträge aus dem Netzwerk verhindert werden. Ein lokales Drucken bleibt weiterhin möglich.
Dieser Workaround verhindert nur die Remotecodeausführung. Die Möglichkeit einer lokalen Codeausführung und Privilegieneskalation bleibt somit weiterhin bestehen.