Windows Print Spooler-Fehler könnte einen schlechten Kompromiss noch viel schlimmer machen

  • Ein Hinweisschild von Microsoft ist am 13. März 2020 in New York City zu sehen. Ein Fehler, von dem ursprünglich angenommen wurde, dass es sich um eine Low-Level-Privilege-Eskalationsschwachstelle im Windows Print Spooler-Dienst handelt, löst in der Informationssicherheits-Community Alarm aus, nachdem weitere Untersuchungen ergeben haben, dass er auch Domänencontroller für Remotecodeausführung anfällig macht… (Jeenah Moon/Getty Images)

    Ein Fehler, von dem ursprünglich angenommen wurde, dass es sich um eine Schwachstelle für die Ausweitung von Privilegien im Windows Print Spooler-Dienst handelt, löst in der Informationssicherheits-Community Alarm aus, nachdem weitere Untersuchungen ergeben haben, dass er auch Domänencontroller für die Ausführung von Remotecode anfällig macht.

    Die als “PrintNightmare” bezeichnete Sicherheitslücke ermöglicht es einem Angreifer, eine bösartige Dynamic Link Library in Domänencontroller mit aktiviertem Print Spooler (Standardeinstellung) einzuschleusen. Die Schwachstelle wird auf der CVSS-Skala für den Schweregrad nicht besonders hoch eingestuft, sie erreicht einen Basiswert von 7,8 und wurde ursprünglich sogar noch niedriger bewertet. Microsoft stufte sie hoch, nachdem mehrere Sicherheitsteams weitere Untersuchungen veröffentlicht hatten, die zeigten, dass die Schwachstelle zur Remote-Ausführung von Code genutzt werden kann.

    Ein Bericht von Claire Tillis, Senior Research Engineer bei Tenable, beschreibt den zeitlichen Ablauf: Am 21. Juni entdeckte ein Team bestehend aus den Forschern Zhipeng Huo vom Xuanwu Lab von Tencent Security, Piotr Madej von AFINE und Yunhai Zhang vom NSFOCUS TIANJI Lab die Schwachstelle erstmals. Sechs Tage später veröffentlichte ein weiteres Team der chinesischen Sicherheitsfirma QiAnXin Beweise dafür, dass auch sie die Schwachstelle ausnutzen konnten, um Remotecodeausführung zu erreichen. Danach veröffentlichte eine dritte Gruppe von Forschern von Sangfor eine vollständige technische Beschreibung des Angriffs auf GitHub mit Proof-of-Concept-Exploit-Code, den sie nach eigenen Angaben ursprünglich auf dem Tianfu Cup, einem jährlich stattfindenden internationalen Hacking-Wettbewerb in China, veröffentlichen wollten.

    “Wir haben diesen Fehler auch schon vorher gefunden und hoffen[d] ihn geheim zu halten, um teilzunehmen [in] Tianfu Cup”, schrieben die Forscher. “Da es einige Leute gibt [who have] bereits ein Exploit-Video von CVE-2021-1675 veröffentlicht haben, veröffentlichen wir hier unser Writeup und Exploit für [the flaw].”

    Dieser GitHub-Beitrag wurde nur wenige Stunden nach seinem Erscheinen wieder entfernt, aber da war die Katze schon aus dem Sack.

    “Leider war das GitHub-Repository lange genug öffentlich zugänglich, damit andere es klonen konnten”, schrieb Tillis. “Der PoC ist wahrscheinlich immer noch im Umlauf und wird wahrscheinlich wieder öffentlich auftauchen, wenn er das nicht schon getan hat.”

    Es herrscht eine gewisse Verwirrung darüber, ob der Patch vor dieser Schwachstelle schützt oder nicht, da das ursprüngliche Microsoft-Update im Juni ein Problem mit lokalen Zugriffsrechten auf niedrigerer Ebene beheben sollte. Mindestens ein Sicherheitsforscher erklärte gegenüber SC Media, dass der Patch nicht dazu gedacht war, DLL-Ladeangriffe wie die in der Untersuchung demonstrierten zu verhindern, und immer noch anfällig für RCE-Angriffe ist.

    Ein Tenable-Sprecher sagte gegenüber SC Media, dass es nach den Enthüllungen Spekulationen und Debatten darüber gab, ob der Juni-Patch vor Remote Code Execution schützt oder nicht, und dass man sich mit weiteren Kommentaren zurückhält, bis Microsoft antwortet.

    David Kennedy, Gründer und CEO von TrustedSec, sagte gegenüber SC Media, dass seine Firma den Exploit gegen ein vollständig gepatchtes System mit den Juni-Updates getestet hat und er erfolgreich war. SC Media hat Microsoft für eine Stellungnahme kontaktiert.

    Rob Fuller, ein langjähriger Sicherheitsforscher, der als technischer Berater für HBOs Silicon Valley tätig war, twitterte, dass die Schwachstelle nicht nur Domain-Controller, sondern “alle Server und Endpunkte” mit aktiviertem Druckspooler betrifft. Er erweiterte diesen Punkt in einer direkten Nachricht an SC Media.

    “Es handelt sich um Remote-Code-Ausführung oder lokale Privilegienerweiterung in jedem Windows-System (Server oder Workstation), auf dem der Spooler-Dienst läuft”, schrieb er. “Es erfordert eine Authentifizierung, also wenn Sie und ich im selben Netzwerk wären, könnten Sie mich nicht ohne ein Konto ausnutzen, aber Active Directory erlaubt es jedem Benutzer, sich bei jedem anderen System zu authentifizieren (auch wenn es ihm keinen Zugriff auf Dinge wie RDP oder Dateifreigaben gibt). Der Spooler-Dienst ist ein solcher Dienst, auf den jeder Zugriff hat, also ist er gegen jeden Server völlig gültig.”

    Fuller sagte, dass er nicht gesehen hat, dass andere Forscher Exploit-Code öffentlich veröffentlicht haben, weil er davon ausgeht, dass “die meisten Leute, die die Änderung herausgefunden haben, um den Patch zu umgehen, ethisch sind und einen neuen Patch ausrollen wollen, bevor sie öffentlich über die Details sprechen, aber es ist keine superharte Modifikation.”

    Domain-Controller sind die Server, die Authentifizierungsanfragen bearbeiten und Benutzeridentitäten verifizieren. Sie helfen dabei, zu bestimmen, welche Benutzer und Geräte auf was in einem Netzwerk Zugriff haben. Außerdem dienen sie als Gateway zu Microsofts Active Directory-Dienst, der IT-Administratoren – oder einem Angreifer – die Möglichkeit gibt, große Teile des Netzwerks zu verwalten. Jemand, der einen Domain-Controller kompromittieren kann, hat, wie Jeff Peters von Varonis es letztes Jahr ausdrückte, “die Box, die die Schlüssel zum Königreich hält – Active Directory.”

    Kennedy sagte, dass der Windows-Druckspooler in der Industrie und anderen Bereichen weit verbreitet ist.

    “Ich würde sagen, dass der Druckerspooler-Dienst in fast jeder Organisation, in die wir gehen, vorherrschend ist, also wird es jeder sein [that’s potentially affected]in Ermangelung eines besseren Begriffs”, sagte er.

    Bis ein Patch herauskommt, raten Kennedy und andere Unternehmen, die Druckspooler-Option komplett zu deaktivieren. Entgegen der landläufigen Meinung hat der Druckspooler laut Kennedy keinen Einfluss auf die Verwaltung von Druckvorgängen innerhalb von Active Directory, und die Deaktivierung wird Unternehmen nicht am Drucken hindern. Er empfahl außerdem, sich bei der Erkennung auf Anzeichen von aus der Ferne importierten dynamischen Link-Bibliotheken oder Anzeichen dafür zu konzentrieren, dass der Spooler-Dienst Command.exe oder PowerShell.exe ausführt – weitere wichtige Anzeichen für ein anhaltendes ungewöhnliches oder bösartiges Verhalten.

    Obwohl die Schwachstelle schwerwiegend ist, ist es unwahrscheinlich, dass sie wahllos ausgenutzt wird, da man durch das Ausnutzen der Schwachstelle keinen Fuß in die Tür eines Opfernetzwerks bekommt – ein Angreifer müsste bereits ein authentifizierter Benutzer sein, um sie auszunutzen. Sie kann jedoch eine bestehende Sicherheitslücke erheblich verschlimmern und vereinfacht die Angriffskette für einen Bedrohungsakteur dramatisch, vom Phishing, um den ersten Benutzerzugang zu erhalten, über das Ausnutzen des Print Spoolers bis hin zum Ausführen von Code auf dem Domain Controller und dem Zugriff auf Active Directory.

    Aus diesem Grund und wegen der Verbreitung von Exploit-Code, der bereits im Internet kursiert, könnte dies ein weiteres Werkzeug für schnelle laterale Bewegungen durch kriminelle Hacker werden.

    “Wir werden sehen, dass dies sehr bald von Gegnern genutzt wird, und wir haben das in der Vergangenheit schon bei verschiedenen Gruppen des organisierten Verbrechens wie Ransomware gesehen”, so Kennedy. “Erwarten Sie also, dass Ransomware-Gruppen dies heute, morgen oder in Kürze in ihren Kampagnen nutzen werden, wenn sie auf Organisationen losgehen.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com