Microsoft warnt vor kritischem “PrintNightmare”-Fehler, der in freier Wildbahn ausgenutzt wird

  • Microsoft hat am Donnerstag offiziell bestätigt, dass die “PrintNightmare”-Schwachstelle (Remote Code Execution, RCE), die den Windows Print Spooler betrifft, sich von dem Problem unterscheidet, das das Unternehmen im Rahmen seines Patch Tuesday-Updates Anfang des Monats behoben hat, und gleichzeitig davor gewarnt, dass es Ausnutzungsversuche für die Schwachstelle entdeckt hat.

    Das Unternehmen verfolgt die Sicherheitsschwäche unter der Kennung CVE-2021-34527.

    [Blocked Image: https://thehackernews.com/images/-9r3EBoAeEj4/YMt1nGWkOMI/AAAAAAAA4Qk/feJCltGJrFcMPYuba5Ihr7WgYxNB6oG-gCLcBGAsYHQ/s300-e100/free-ad-7-300.png]

    “Es besteht eine Sicherheitsanfälligkeit für Remotecodeausführung, wenn der Windows Print Spooler-Dienst unsachgemäß privilegierte Dateioperationen ausführt”, so Microsoft in seinem Advisory. “Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, könnte beliebigen Code mit SYSTEM-Rechten ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.”

    “Für einen Angriff muss ein authentifizierter Benutzer RpcAddPrinterDriverEx() aufrufen”, so die Firma aus Redmond weiter.

    Das Eingeständnis kommt, nachdem Forscher der in Hongkong ansässigen Cybersecurity-Firma Sangfor einen technischen Deep-Dive eines Print Spooler RCE-Fehlers auf GitHub veröffentlicht haben, zusammen mit einem voll funktionsfähigen PoC-Code, bevor dieser nur wenige Stunden nach der Veröffentlichung wieder entfernt wurde.

    Die Enthüllungen lösten auch Spekulationen und Debatten darüber aus, ob der Juni-Patch vor der RCE-Schwachstelle schützt oder nicht, wobei das CERT Coordination Center feststellte, dass “Microsoft zwar ein Update für CVE-2021-1675 veröffentlicht hat, es aber wichtig ist zu wissen, dass dieses Update Active Directory-Domänencontroller oder Systeme, die Point and Print mit der Option NoWarningNoElevationOnInstall konfiguriert haben, NICHT schützt.”

    [Blocked Image: https://thehackernews.com/images/-hkQDbi8WuFc/YLy9N5FVDyI/AAAAAAAA4BQ/EWc29W968mAbwiuVzSw1vYyepjgzwGHawCLcBGAsYHQ/s728-e100/privileged_728.jpg]

    CVE-2021-1675, ursprünglich als “Elevation of Privilege”-Schwachstelle klassifiziert und später als RCE überarbeitet, wurde von Microsoft am 8. Juni 2021 behoben.

    Das Unternehmen wies in seinem Advisory darauf hin, dass sich PrintNightmare von CVE-2021-1675 unterscheidet, da letztere eine separate Sicherheitslücke in RpcAddPrinterDriverEx() behebt und der Angriffsvektor ein anderer ist.

    Als Workarounds empfiehlt Microsoft den Benutzern, den Print Spooler-Dienst zu deaktivieren oder den eingehenden Remote-Druck über die Gruppenrichtlinie abzuschalten. Wir haben das Unternehmen um eine Stellungnahme gebeten und werden die Meldung aktualisieren, sobald wir eine Antwort erhalten.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com