Microsofts Notfall-Patch behebt die PrintNightmare RCE-Schwachstelle nicht vollständig

  • Obwohl Microsoft die Patches für die sogenannte PrintNightmare-Schwachstelle für Windows 10 Version 1607, Windows Server 2012 und Windows Server 2016 erweitert hat, ist bekannt geworden, dass der Patch für die Remotecode-Ausführungsschwachstelle im Windows Print Spooler-Dienst in bestimmten Szenarien umgangen werden kann, wodurch die Sicherheitsvorkehrungen effektiv umgangen werden und Angreifer beliebigen Code auf infizierten Systemen ausführen können.

    Am Dienstag veröffentlichte der Windows-Hersteller ein Notfall-Out-of-Band-Update, um CVE-2021-34527 (CVSS-Score: 8.8) zu beheben, nachdem die Schwachstelle Ende letzten Monats versehentlich von Forschern der in Hongkong ansässigen Cybersecurity-Firma Sangfor aufgedeckt wurde. Zu diesem Zeitpunkt stellte sich heraus, dass sich das Problem von einem anderen Fehler unterscheidet, der als CVE-2021-1675 verfolgt wird und von Microsoft am 8. Juni gepatcht wurde.

    [Blocked Image: https://thehackernews.com/images/-W-YXfspkl8I/YMt1op6vO6I/AAAAAAAA4Q4/SnWv_Gbl-RMg2BM3YaU9IL1sLek-JjiUACLcBGAsYHQ/s728-e100/free-ad-9-728.png]

    “Vor einigen Tagen wurden zwei Sicherheitslücken im bestehenden Druckmechanismus von Microsoft Windows gefunden”, so Yaniv Balmas, Leiter der Cyberforschung bei Check Point, gegenüber The Hacker News. “Diese Schwachstellen ermöglichen es einem böswilligen Angreifer, die volle Kontrolle über alle Windows-Umgebungen zu erlangen, die das Drucken ermöglichen.”

    “Meistens handelt es sich dabei um Arbeitsstationen, aber manchmal sind auch ganze Server betroffen, die ein integraler Bestandteil von sehr verbreiteten Unternehmensnetzwerken sind. Microsoft stufte diese Schwachstellen als kritisch ein, aber als sie veröffentlicht wurden, konnten sie nur eine davon beheben und ließen die Tür für die Erforschung der zweiten Schwachstelle offen”, fügte Balmas hinzu.

    PrintNightmare geht auf Fehler im Windows Print Spooler Service zurück, der den Druckprozess in lokalen Netzwerken verwaltet. Das Hauptproblem bei der Bedrohung ist, dass Nicht-Administrator-Benutzer die Möglichkeit hatten, ihre eigenen Druckertreiber zu laden. Dies wurde nun behoben.

    “Nach der Installation dieses [update] und späteren Windows-Updates können Benutzer, die keine Administratoren sind, nur noch signierte Druckertreiber auf einem Druckerserver installieren”, sagte Microsoft und erläuterte die Verbesserungen, die vorgenommen wurden, um die mit dem Fehler verbundenen Risiken zu mindern. “Für die Installation von unsignierten Druckertreibern auf einem Druckerserver sind in Zukunft Administrator-Anmeldeinformationen erforderlich.”

    Nach der Veröffentlichung des Updates warnte CERT/CC-Schwachstellenanalyst Will Dormann, dass der Patch “anscheinend nur die Remote Code Execution (RCE via SMB und RPC) Varianten des PrintNightmare adressiert und nicht die Local Privilege Escalation (LPE) Variante”, wodurch Angreifer letztere missbrauchen können, um SYSTEM-Privilegien auf verwundbaren Systemen zu erlangen.

    [Blocked Image: https://thehackernews.com/images/-SBDa0OwIyQY/YLy9M341QGI/AAAAAAAA4BM/m6-TrBrJenABekCqMu1Gp2XbmtAaeHd9ACLcBGAsYHQ/s300-e100/auth_300.jpg]

    Nun haben weitere Tests des Updates ergeben, dass Exploits, die auf die Schwachstelle abzielen, die Abhilfemaßnahmen vollständig umgehen können, um sowohl lokale Privilegienerweiterung als auch Remotecodeausführung zu erreichen. Um dies zu erreichen, muss jedoch eine Windows-Richtlinie namens “Point and Print Restrictions” aktiviert werden (ComputerkonfigurationPoliciesAdministrative VorlagenDrucker: Point and Print Restrictions), die potenziell dazu verwendet werden kann, bösartige Druckertreiber zu installieren.

    “Beachten Sie, dass das Microsoft-Update für CVE-2021-34527 die Ausnutzung von Systemen, bei denen Point and Print NoWarningNoElevationOnInstall auf 1 gesetzt ist, nicht effektiv verhindert”, sagte Dormann am Mittwoch. Microsoft seinerseits erklärt in seinem Advisory, dass “Point and Print nicht direkt mit dieser Schwachstelle zusammenhängt, aber die Technologie schwächt die lokale Sicherheitslage so, dass ein Ausnutzen möglich ist.”

    Während Microsoft als nukleare Option das Stoppen und Deaktivieren des Print Spooler-Dienstes empfiehlt, besteht ein alternativer Workaround darin, Sicherheitsabfragen für Point and Print zu aktivieren und die Installation von Druckertreibern auf Administratoren zu beschränken, indem der Registrierungswert “RestrictDriverInstallationToAdministrators” so konfiguriert wird, dass normale Benutzer keine Druckertreiber auf einem Druckserver installieren können.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com