Microsoft veröffentlicht Notfall-Patch für PrintNightmare-Fehler

  • Der Fix deckt jedoch weder das gesamte Problem noch alle betroffenen Systeme ab. Daher bietet das Unternehmen auch Workarounds an und plant, weitere Abhilfen zu einem späteren Zeitpunkt zu veröffentlichen.

    Microsoft hat einen Notfall-Patch für PrintNightmare veröffentlicht. Dabei handelt es sich um zwei kritische RCE-Schwachstellen (Remote Code Execution) im Windows Print Spooler-Dienst, die Hacker nutzen können, um ein infiziertes System zu übernehmen. Allerdings sind noch weitere Korrekturen notwendig, bevor alle von dem Fehler betroffenen Windows-Systeme vollständig geschützt sind, so die Bundesregierung.

    Microsoft hat am Dienstag ein Out-of-Band-Update für mehrere Windows-Versionen veröffentlicht, um CVE-2021-34527 zu beheben, den zweiten von zwei Fehlern, die ursprünglich für einen Fehler gehalten wurden und die von Sicherheitsforschern als PrintNightmare bezeichnet wurden.

    Der neueste Fix scheint jedoch nur die RCE-Variante von PrintNightmare zu adressieren und nicht die Variante der lokalen Privilegieneskalation (LPE), so ein Advisory der Cybersecurity Infrastructure and Security Administration (CISA) unter Berufung auf eine vom CERT Coordination Center (CERT/CC) veröffentlichte VulNote.

    Außerdem enthalten die Updates nicht Windows 10 Version 1607, Windows Server 2012 oder Windows Server 2016, die laut CERT/CC zu einem späteren Zeitpunkt gepatcht werden sollen.

    Eine Geschichte von zwei Sicherheitslücken

    Die PrintNightmare-Saga begann am vergangenen Dienstag, als ein Proof-of-Concept (PoC)-Exploit für die Schwachstelle – damals unter der Bezeichnung CVE-2021-1675 geführt – auf GitHub veröffentlicht wurde, der zeigte, wie ein Angreifer die Schwachstelle ausnutzen kann, um die Kontrolle über ein betroffenes System zu übernehmen. Obwohl die Seite innerhalb weniger Stunden wieder entfernt wurde, wurde der Code kopiert und ist weiterhin auf der Plattform im Umlauf.

    Die Reaktion auf die Situation schlug bald in Verwirrung um. Obwohl Microsoft im Rahmen der üblichen monatlichen Patch Tuesday-Updates einen Patch für CVE-2021-1675 veröffentlichte, der eine vermeintlich kleine EoP-Schwachstelle behebt, wurde die Liste später in der Woche aktualisiert, nachdem Forscher von Tencent und NSFOCUS TIANJI Lab herausgefunden hatten, dass sie für RCE genutzt werden kann.

    Allerdings wurde vielen Experten schnell klar, dass Microsofts erster Patch nicht das gesamte Problem behoben hat. CERT/CC bot am Donnerstag einen eigenen Workaround für PrintNightmare an und riet Systemadministratoren, den Windows Print Spooler Service in Domain Controllern und Systemen, die nicht drucken, zu deaktivieren.

    Um die Angelegenheit weiter zu verkomplizieren, veröffentlichte Microsoft am vergangenen Donnerstag eine Meldung für einen Fehler namens “Windows Print Spooler Remote Code Execution Vulnerability”, bei dem es sich offenbar um dieselbe Schwachstelle handelt, allerdings mit einer anderen CVE-Nummer – in diesem Fall CVE-2021-34527.

    “Diese Sicherheitsanfälligkeit ist ähnlich, unterscheidet sich aber von der Sicherheitsanfälligkeit, der CVE-2021-1675 zugewiesen ist, die eine andere Sicherheitsanfälligkeit in RpcAddPrinterDriverEx() adressiert”, schrieb das Unternehmen damals in dem Advisory. “Auch der Angriffsvektor ist ein anderer. CVE-2021-1675 wurde mit dem Sicherheitsupdate vom Juni 2021 behoben.”

    Microsoft stellt unvollständigen Patch aus

    Der in dieser Woche veröffentlichte Fix adressiert CVE-2021-34527 und beinhaltet Schutzmaßnahmen für CVE-2021-1675, so die CISA, die Anwendern und Administratoren empfiehlt, die Microsoft-Sicherheitsupdates sowie die CERT/CC Vulnerability Note VU #383432 zu prüfen und die notwendigen Updates oder Workarounds anzuwenden.

    Aber wie bereits erwähnt, werden damit nicht alle Systeme repariert.

    Für Fälle, in denen ein System nicht durch den Patch geschützt ist, bietet Microsoft mehrere Workarounds für PrintNightmare an. Eine ist der Lösung der Bundesregierung von letzter Woche sehr ähnlich: Das Stoppen und Deaktivieren des Print-Spooler-Dienstes – und damit die Möglichkeit, sowohl lokal als auch remote zu drucken – mit den folgenden PowerShell-Befehlen: Stop-Service -Name Spooler -Force und Set-Service -Name Spooler -StartupType Disabled.

    Die zweite Abhilfe besteht darin, den eingehenden Remote-Druck über die Gruppenrichtlinie zu deaktivieren, indem Sie die Richtlinie “Druckspooler erlauben, Client-Verbindungen zu akzeptieren” deaktivieren, um Remote-Angriffe zu blockieren, und dann das System neu zu starten. In diesem Fall funktioniert das System nicht mehr als Druckserver, aber das lokale Drucken auf einem direkt angeschlossenen Gerät ist weiterhin möglich.

    Eine weitere mögliche Option, um die Ausnutzung des Fehlers aus der Ferne zu verhindern, die in “begrenzten Tests” funktioniert hat, besteht laut CERT/CC darin, sowohl den RPC Endpoint Mapper (135/tcp) als auch SMB (139/tcp und 445/tcp) auf der Firewall-Ebene zu blockieren. Allerdings “kann das Blockieren dieser Ports auf einem Windows-System verhindern, dass die erwarteten Funktionen ordnungsgemäß funktionieren, insbesondere auf einem System, das als Server fungiert”, rät das Zentrum.

    Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com