Notfall-Patch “PrintNightmare” behebt angeblich RCEs, aber keine Privilegienerweiterung auf Windows-Servern

  • Ein Werbeschild von Microsoft ist am 13. März 2020 in New York City zu sehen. Sicherheitsforscher prüfen noch immer einen Patch für eine Sicherheitslücke im Windows Print Spooler, der am 6. Juli veröffentlicht wurde (Foto: Jeenah Moon/Getty Images).

    Microsoft hat am Dienstag einen Notfall-Patch für die so genannte PrintNightmare-Schwachstelle veröffentlicht, die den Windows Print Spooler-Dienst angreift (CVE-2021-34527), ein Fix, der von einigen Sicherheitsforschern noch ausgewertet wird.

    John Hammond, ein leitender Sicherheitsforscher bei Huntress, sagte, sein Team habe den neuen Patch auf Windows 21H1 Enterprise validiert und festgestellt, dass er zwar die lokale Privilegieneskalation gestoppt habe, die Schwachstelle aber immer noch auf Windows-Servern erfolgreich sei. Auf der anderen Seite sagte Hammond, dass der “scheinbar partielle Fix” die Remotecodeausführung zu verhindern scheint.

    Laut Microsofts letztem Update vom 6. Juli sind noch keine Updates für Windows 10 Version 1607, Windows Server 2016 oder Windows Server 2012 verfügbar. Der Softwarehersteller sagte, dass Sicherheitsupdates für diese Windows-Versionen bald veröffentlicht werden. “Bisher haben wir noch kein allumfassendes Patch-Szenario gesehen, das die lokale Privilegienerweiterung verhindert, die Remotecodeausführung stoppt und das Drucken ermöglicht”, so Hammond.

    Sicherheitsprofis sollten dem neuesten Microsoft-Patch hohe Priorität einräumen, riet Joseph Carson, Chief Security Scientist und beratender CISO bei ThycoticCentrify, der PrintNightmare eine “massive Sicherheitslücke” nannte.

    Carson erklärte, dass, wenn ein böswilliger Angreifer in einem Unternehmensnetzwerk Fuß gefasst hat, die Systeme öffentlich zugänglich sind und nicht gegen PrintNightmare gepatcht wurden, der Angreifer sich zum Domain-Admin aufschwingen und das gesamte Netzwerk mit nur wenigen kleinen Schritten komplett aushebeln könnte.

    “Dies könnte zu einem katastrophalen Sicherheitsvorfall wie Datendiebstahl, Finanzbetrug oder Ransomware führen”, so Carson. “Die Schwachstelle betrifft die meisten Versionen von Windows-Systemen und es ist wichtig, sicherzustellen, dass Ihre Windows-Umgebung so schnell wie möglich gepatcht wird, insbesondere kritische Server und Systeme.”

    Charles Ragland, Sicherheitsingenieur bei Digital Shadows, sagte, dass der Patch einen Angreifer, der bereits einen Rechner kompromittiert hat, nicht daran hindert, diese Schwachstelle weiter zu missbrauchen.

    “Microsoft empfiehlt derzeit, den Druckspooler-Dienst als Workaround manuell zu deaktivieren, bis eine umfassendere Lösung gefunden ist”, sagte Ragland. “Dieser Vorfall ist ein hervorragendes Beispiel dafür, warum nicht genutzte Dienste deaktiviert oder eingeschränkt werden sollten. Da ein Exploit öffentlich verfügbar ist und eine vollständige Lösung nicht veröffentlicht wurde, sollten Unternehmen diesen Vorfall genau beobachten und aktualisieren, sobald Korrekturen verfügbar sind.”

    Für viele Unternehmen hätte die Nachricht von dieser Sicherheitslücke zu keinem schlechteren Zeitpunkt kommen können, fügt Carson von ThycoticCentrify hinzu.

    “Wenn Sie auch ein Kaseya-Kunde sind, dann ist auch Ihre Patching-Fähigkeit betroffen”, sagte er. “Für viele Unternehmen ist das ein echter Albtraum, der viele CISOs und Sicherheitsteams nachts wach halten wird, um herauszufinden, wie man diese anfälligen Systeme patchen und Angreifer daran hindern kann, Print Spooler in eine kompromittierte Domänenverwaltung zu verwandeln.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com