Wie man die Sicherheitslücke im Microsoft Print Spooler entschärft – PrintNightmare

  • Diese Woche wurde PrintNightmare – Microsofts Print Spooler-Schwachstelle (CVE-2021-34527) von einem “niedrigen” auf einen “kritischen” Schweregrad heraufgestuft.

    Grund dafür ist ein auf GitHub veröffentlichter Proof of Concept, den Angreifer potenziell ausnutzen könnten, um Zugriff auf Domain-Controller zu erlangen.

    Wie wir bereits berichteten, hat Microsoft bereits im Juni 2021 einen Patch veröffentlicht, der aber nicht ausreichte, um die Exploits zu stoppen. Angreifer können immer noch den Print Spooler nutzen, um sich aus der Ferne zu verbinden. In diesem Artikel finden Sie alles, was Sie über diese Sicherheitslücke wissen müssen und wie Sie sie entschärfen können (und das können Sie).

    Print Spooler in aller Kürze: Print Spooler ist Microsofts Dienst zur Verwaltung und Überwachung von Dateidrucken. Dieser Dienst gehört zu den ältesten von Microsoft und hat seit seiner Veröffentlichung nur minimale Wartungsupdates erhalten.

    Auf jedem Microsoft-Rechner (Server und Endpunkte) ist diese Funktion standardmäßig aktiviert.

    PrintNightmare-Schwachstelle: Sobald ein Angreifer eingeschränkten Benutzerzugriff auf ein Netzwerk erhält, kann er sich (direkt oder per Fernzugriff) mit dem Print Spooler verbinden. Da der Print Spooler direkten Zugriff auf den Kernel hat, kann der Angreifer damit Zugriff auf das Betriebssystem erlangen, Remotecode mit Systemprivilegien ausführen und schließlich den Domain Controller angreifen.

    Die beste Möglichkeit, die PrintNightmare-Schwachstelle zu entschärfen, besteht darin, den Print Spooler auf allen Servern und/oder sensiblen Arbeitsstationen (z. B. Arbeitsstationen von Administratoren, Arbeitsstationen mit direktem Internetzugang und Arbeitsstationen ohne Druckfunktion) zu deaktivieren.

    Dies ist, was Dvir Goren, Härtungsexperte und CTO bei CalCom Software Solutions, als ersten Schritt zur Abschwächung vorschlägt.

    Befolgen Sie diese Schritte, um den Druckspooler-Dienst unter Windows 10 zu deaktivieren: Öffnen Sie Start. Suchen Sie nach PowerShell, klicken Sie mit der rechten Maustaste darauf und wählen Sie die Option Als Administrator ausführen. Geben Sie den Befehl ein und drücken Sie die Eingabetaste: Stop-Service -Name Spooler -Force Verwenden Sie diesen Befehl, um zu verhindern, dass der Dienst bei einem Neustart wieder anläuft: Set-Service -Name Spooler -StartupType Disabled

    Nach den Erfahrungen von Dvir benötigen 90 % der Server den Print Spooler nicht. Bei den meisten ist er standardmäßig konfiguriert, also in der Regel aktiviert. Infolgedessen kann das Deaktivieren des Druckspoolers 90 % Ihres Problems lösen und hat kaum Auswirkungen auf die Produktion.

    In großen und komplexen Infrastrukturen kann es eine Herausforderung sein, herauszufinden, wo der Print Spooler verwendet wird.

    Hier sind ein paar Beispiele, wo Print Spooler benötigt wird: Bei Verwendung von Citrix-Diensten, Fax-Server, Jede Anwendung, die den virtuellen oder physischen Druck von PDFs, XPSs usw. erfordert. Abrechnungsdienste und Lohnanwendungen, zum Beispiel.

    Hier sind einige Beispiele, bei denen der Druckspooler nicht benötigt wird, aber standardmäßig aktiviert ist: Domain Controller und Active Directory – das Hauptrisiko bei dieser Schwachstelle kann durch grundlegende Cyber-Hygiene neutralisiert werden. Es macht keinen Sinn, Print Spooler in DCs und AD-Servern aktiviert zu haben. Mitgliedsserver wie SQL-, Dateisystem- und Exchange-Server. Maschinen, die keinen Druck benötigen.

    Ein paar andere von Dvir vorgeschlagene Härtungsschritte für Maschinen, die vom Print Spooler abhängig sind, sind: Ersetzen Sie das anfällige Print Spooler-Protokoll durch einen Nicht-Microsoft-Dienst. Durch Ändern von ‘Druckspooler erlauben, Client-Verbindungen zu akzeptieren’ können Sie den Zugriff von Benutzern und Treibern auf den Druckspooler auf Gruppen beschränken, die ihn verwenden müssen. Druckspooler-Aufrufer in der Pre-Windows 2000-Kompatibilitätsgruppe deaktivieren. Stellen Sie sicher, dass Point and Print nicht auf No Warning konfiguriert ist – überprüfen Sie den Registrierungsschlüssel SOFTWARE/Policies/Microsoft/Windows NT/Printers/PointAndPrint/NoElevationOnInstall auf den DWORD-Wert 1. EnableLUA ausschalten – prüfen Sie den Registry-Schlüssel SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System/EnableLUA auf den DWORD-Wert 0.

    Im Folgenden erfahren Sie, was Sie als nächstes tun müssen, um die Sicherheit Ihres Unternehmens zu gewährleisten: Identifizieren Sie, wo der Print Spooler in Ihrem Netzwerk verwendet wird. Bilden Sie Ihr Netzwerk ab, um die Maschinen zu finden, die Print Spooler verwenden müssen. Deaktivieren Sie Print Spooler auf Maschinen, die ihn nicht verwenden. Für Maschinen, die Print Spooler benötigen – konfigurieren Sie sie so, dass seine Angriffsfläche minimiert wird.

    Daneben sollten Sie, um mögliche Hinweise auf eine Ausnutzung zu finden, auch die Microsoft-Windows-PrintService/Admin-Protokolleinträge überwachen. Es könnte Einträge mit Fehlermeldungen geben, die darauf hinweisen, dass Print Spooler keine Plug-in-Modul-DLLs laden kann, obwohl dies auch passieren kann, wenn ein Angreifer eine legitime DLL gepackt hat, die Print Spooler verlangt.

    Die letzte Empfehlung von Dvir ist, diese Empfehlungen mit Hilfe von Automatisierungswerkzeugen für das Härten umzusetzen. Ohne Automatisierung werden Sie unzählige Stunden mit dem Versuch verbringen, manuell zu härten, und am Ende möglicherweise verwundbar sein oder Systeme zum Absturz bringen

    Nachdem Sie sich für eine Vorgehensweise entschieden haben, findet ein Härtungs-Automatisierungstool heraus, wo Print Spooler aktiviert sind und wo sie tatsächlich verwendet werden, und deaktiviert oder konfiguriert sie automatisch neu.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com