CISA bietet neue Abhilfe für PrintNightmare Bug

  • CERT fordert Administratoren auf, den Windows-Druckspooler-Dienst in Domain Controllern und Systemen, die nicht drucken, zu deaktivieren, während Microsoft versucht, den RCE-Fehler mit einer neuen CVE-Zuweisung zu klären.

    Die US-Regierung hat sich eingeschaltet, um eine Entschärfung für eine kritische RCE-Schwachstelle (Remote Code Execution) im Windows Print Spooler-Dienst anzubieten, die durch die ersten Bemühungen von Microsoft, sie zu beheben, möglicherweise nicht vollständig gepatcht wurde.

    Um den Fehler, der PrintNightmare genannt wird, zu entschärfen, hat das CERT Coordination Center (CERT/CC) eine VulNote für CVE-2021-1675 veröffentlicht, die Systemadministratoren dazu auffordert, den Windows Print Spooler Service in Domain Controllern und Systemen, die nicht drucken, zu deaktivieren, so die Cybersecurity Infratructure and Security Administration (CISA) in einer Mitteilung vom Donnerstag. CERT/CC ist Teil des Software Engineering Institute, einem staatlich finanzierten Forschungszentrum, das von der Carnegie Mellon University betrieben wird.

    “Während Microsoft ein Update für CVE-2021-1675 veröffentlicht hat, ist es wichtig zu wissen, dass dieses Update Active Directory-Domänencontroller oder Systeme, die Point and Print mit der Option NoWarningNoElevationOnInstall konfiguriert haben, NICHT schützt”, schreiben die CERT/CC-Forscher in der Mitteilung.

    Die Abschwächung ist eine Reaktion auf ein Szenario, das sich Anfang der Woche ereignete, als ein Proof-of-Concept (POC) für PrintNightmare am Dienstag auf GitHub veröffentlicht wurde. Obwohl es innerhalb weniger Stunden wieder heruntergenommen wurde, wurde der Code kopiert und ist weiterhin auf der Plattform im Umlauf. Ein Angreifer kann den POC verwenden, um die Schwachstelle auszunutzen und die Kontrolle über ein betroffenes System zu übernehmen.

    In der Zwischenzeit hat Microsoft am Donnerstag ein eigenes Advisory zu PrintNightmare herausgegeben, das eine neue CVE zuweist und einen neuen Angriffsvektor anzudeuten scheint, während es versucht, die Verwirrung, die darüber entstanden ist, zu klären.

    Während das Unternehmen ursprünglich CVE-2021-1675 in den Patch Tuesday-Updates vom Juni als eine kleinere “elevation-of-privilege”-Schwachstelle adressierte, wurde die Auflistung letzte Woche aktualisiert, nachdem Forscher von Tencent und NSFOCUS TIANJI Lab herausgefunden hatten, dass sie für RCE verwendet werden könnte.

    Kurz darauf wurde jedoch vielen Experten klar, dass der Patch gegen den RCE-Aspekt des Fehlers zu versagen scheint – daher das Angebot der CISA für eine andere Abschwächung und das Update von Microsoft.

    Zuweisung einer neuen CVE?

    Was letzteres betrifft, so hat das Unternehmen am Donnerstag einen Hinweis auf einen Fehler namens “Windows Print Spooler Remote Code Execution Vulnerability” veröffentlicht, bei dem es sich offenbar um dieselbe Schwachstelle handelt, allerdings mit einer anderen CVE-Nummer – in diesem Fall CVE-2021-34527.

    Die Beschreibung des Fehlers klingt wie PrintNightmare; tatsächlich räumt Microsoft ein, dass es sich um “eine sich entwickelnde Situation” handelt.

    “Es besteht eine Sicherheitsanfälligkeit für Remotecodeausführung, wenn der Windows Print Spooler-Dienst unsachgemäß privilegierte Dateioperationen ausführt”, heißt es in der Meldung. “Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, könnte beliebigen Code mit SYSTEM-Rechten ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.”

    In einem “FAQ”-Abschnitt im Sicherheitsupdate versucht Microsoft, den Zusammenhang von CVE-2021-34527 mit CVE-2021-1675 zu erklären.

    “Ist dies die Sicherheitsanfälligkeit, die öffentlich als PrintNightmare bezeichnet wurde? Ja, Microsoft hat dieser Sicherheitslücke CVE-2021-34527 zugeordnet”, schreibt das Unternehmen.

    Die Antwort auf die Frage “Ist diese Sicherheitsanfälligkeit mit CVE-2021-1675 verbunden?” legt jedoch nahe, dass CVE-2021-34527 ein anderes Problem ist.

    “Diese Schwachstelle ist ähnlich, aber nicht identisch mit der Schwachstelle, die CVE-2021-1675 zugeordnet ist, die eine andere Schwachstelle in RpcAddPrinterDriverEx() betrifft”, schrieb das Unternehmen. “Der Angriffsvektor ist ebenfalls unterschiedlich. CVE-2021-1675 wurde mit dem Sicherheitsupdate vom Juni 2021 behoben.”

    Microsoft erklärt weiter, dass CVE-2021-34527 bereits vor den Juni-Patch Tuesday-Updates existierte und dass es Domänencontroller in “allen Versionen von Windows” betrifft.

    “Wir untersuchen noch, ob alle Versionen ausnutzbar sind”, schreibt das Unternehmen. “Wir werden dieses CVE aktualisieren, wenn diese Informationen offensichtlich sind.”

    Microsoft hat CVE-2021-34527 keine Bewertung zugewiesen und verweist auf die laufende Untersuchung.

    Zwei Sicherheitslücken?

    Rückblickend bemerkte ein Sicherheitsforscher gegenüber Threatpost, als die Nachricht von PrintNightmare am Dienstag auftauchte, dass es “merkwürdig” sei, dass die CVE für die ursprüngliche Schwachstelle “-1675” sei, und bemerkte, dass “die meisten CVEs, die Microsoft im Juni gepatcht hat, -31000 und höher sind.”

    “Das könnte ein Indikator dafür sein, dass sie schon seit einiger Zeit von diesem Fehler wissen und dass es nicht trivial ist, ihn vollständig zu beheben”, sagte Dustin Childs von Trend Micros Zero Day Initiative damals gegenüber Threatpost.

    Jetzt scheint es, dass Microsoft vielleicht nur einen Teil einer komplexeren Schwachstelle gepatcht hat. Das wahrscheinliche Szenario scheint zu sein, dass es zwei Fehler im Windows Print Spooler gibt, die Angreifern eine Art Exploit-Kette bieten oder separat verwendet werden könnten, um Systeme zu übernehmen.

    Während der eine Fehler in der Tat mit dem Patch Tuesday-Update im Juni behoben wurde, könnte der andere durch den Workaround von CERT/CC entschärft werden – oder er könnte weiterhin durch ein zukünftiges Microsoft-Update gepatcht werden, das nach Abschluss der Untersuchung des Unternehmens erscheint.

    Die Veröffentlichung einer neuen CVE im Zusammenhang mit PrintNightmare am Donnerstag scheint ein erster Versuch zu sein, die Situation zu klären, obwohl sie angesichts der sich entwickelnden Natur im Moment noch etwas unklar ist.

    Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com