Neuer PrintNightmare-Patch kann umgangen werden, sagen Forscher

  • Microsoft hat nun einen Patch für alle Windows-Versionen veröffentlicht, die vom PrintNightmare-Zero-Day betroffen sind. Forscher haben jedoch bereits einen Weg gefunden, den Fix bei Angriffen zu umgehen.

    Wie vorhergesagt, hat Microsoft diese Woche einen Out-of-Band-Patch für CVE-2021-34527 veröffentlicht, der jetzt einen CVSS “High Severity”-Score von 8.2 hat.

    Auf die unvollständige Erstveröffentlichung am Dienstag folgte einen Tag später eine Version, die die restlichen ungepatchten Produkte abdeckt: Windows Server 2012, Windows Server 2016 und Windows 10, Version 1607.

    Innerhalb weniger Stunden nach der Veröffentlichung zeigten Forscher jedoch auf Twitter Proof-of-Concept-Angriffe auf gepatchte Systeme, was bedeutet, dass sie effektiv immer noch anfällig für lokale Privilegienerweiterung und Remotecodeausführung sind.

    Laut Benjamin Delpy, dem Schöpfer von Mimikatz, bezieht sich das Problem auf die Funktion “Point and Print”, die es einem Windows-Client ermöglichen soll, eine Verbindung zu einem entfernten Drucker herzustellen, ohne zuvor ein Installationsmedium zu benötigen.

    Das bedeutet, dass ein authentifizierter Benutzer immer noch Administratorrechte auf einem Rechner erlangen kann, auf dem der Print Spooler-Dienst läuft, um beliebigen Code auszuführen.

    Am besorgniserregendsten ist, dass diese Schwachstelle Server mit Windows-Domänencontrollern gefährden könnte, wodurch Angreifer effektiv die Schlüssel zum Königreich erhalten, um Unternehmensnetzwerke mit Ransomware oder anderem bösartigen Code zu kompromittieren.

    Microsoft bestätigte das Problem am Ende des Advisorys.

    “Point and Print steht nicht in direktem Zusammenhang mit dieser Schwachstelle, aber die Technologie schwächt die lokale Sicherheitslage so, dass eine Ausnutzung möglich ist”, räumte das Unternehmen ein. “Um Point and Print für Nicht-Administratoren zu deaktivieren, stellen Sie sicher, dass bei Druckerinstallationen und -updates Warn- und Erhöhungsaufforderungen angezeigt werden.”

    Das jüngste Problem reiht sich in einen Katalog von Fehlern ein, der damit begann, dass chinesische Forscher im vergangenen Monat versehentlich einen Proof-of-Concept-Exploit veröffentlichten, in dem Glauben, dieser sei bereits von einem Forscher in Umlauf gebracht und von Microsoft gepatcht worden.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com