Microsoft veröffentlicht Notfall-Patch für kritische Windows PrintNightmare-Sicherheitslücke

  • Microsoft hat ein Notfall-Out-of-Band-Sicherheitsupdate zur Verfügung gestellt, um eine kritische Zero-Day-Schwachstelle – bekannt als “PrintNightmare” – zu beheben, die den Windows Print Spooler-Dienst betrifft und es entfernten Bedrohungsakteuren ermöglichen kann, beliebigen Code auszuführen und anfällige Systeme zu übernehmen.

    [Blocked Image: https://thehackernews.com/images/-OoudkWOwaI4/YMt1nG7ZqHI/AAAAAAAA4Qo/zhvoTujBMzIboAsA28Ekt3IPPv7HQZb4ACLcBGAsYHQ/s728-e100/free-ad-7-728.png]

    Die Schwachstelle mit der Bezeichnung CVE-2021-34527 (CVSS-Score: 8.8) betrifft alle unterstützten Windows-Editionen und führt zur Ausführung von Remotecode. Letzte Woche warnte das Unternehmen, dass es aktive Ausnutzungsversuche für die Schwachstelle entdeckt hat.

    “Der Microsoft Windows Print Spooler Service scheitert daran, den Zugriff auf Funktionen einzuschränken, die Benutzern das Hinzufügen von Druckern und zugehörigen Treibern erlauben, was einem entfernten, authentifizierten Angreifer die Ausführung von beliebigem Code mit SYSTEM-Rechten auf einem anfälligen System ermöglichen kann”, so das CERT Coordination Center zu dem Problem.

    Es ist erwähnenswert, dass PrintNightmare sowohl Remote-Code-Ausführung als auch einen Vektor zur lokalen Rechteerweiterung enthält, der in Angriffen missbraucht werden kann, um Befehle mit SYSTEM-Rechten auf den anvisierten Windows-Rechnern auszuführen.

    “Das Microsoft-Update für CVE-2021-34527 scheint nur die Variante der Remote-Code-Ausführung (RCE via SMB und RPC) von PrintNightmare zu adressieren, nicht aber die Variante der lokalen Privilegieneskalation (LPE)”, so CERT/CC-Schwachstellenanalyst Will Dormann.

    Das bedeutet effektiv, dass der unvollständige Fix immer noch von einem lokalen Angreifer genutzt werden könnte, um SYSTEM-Rechte zu erlangen. Als Workarounds empfiehlt Microsoft, den Print Spooler-Dienst zu stoppen und zu deaktivieren oder den eingehenden Remote-Druck über die Gruppenrichtlinie zu deaktivieren, um Remote-Angriffe zu verhindern.

    [Blocked Image: https://thehackernews.com/images/-OSV4PB8Gs_s/YLy9M_8zkrI/AAAAAAAA4BE/n1p4_TGqv8w7u-Ha-YBjdamOZ8K2RHL_ACLcBGAsYHQ/s300-e100/privileged_300.jpg]

    Angesichts der Kritikalität des Fehlers hat der Windows-Hersteller Patches für herausgegeben:

    • Windows Server 2019
    • Windows Server 2012 R2
    • Windows Server 2008
    • Windows 8.1
    • Windows RT 8.1
    • und eine Vielzahl von unterstützten Versionen von Windows 10.

    Microsoft hat sogar den ungewöhnlichen Schritt unternommen, den Fix für Windows 7 herauszugeben, das ab Januar 2020 offiziell das Ende des Supports erreicht hat.

    Das Update umfasst allerdings nicht Windows 10 Version 1607, Windows Server 2012 oder Windows Server 2016, für die laut dem Redmonder Unternehmen in den kommenden Tagen Patches veröffentlicht werden.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com