Microsoft Security Bulletin warnt vor neuer Windows Print Spooler RCE-Schwachstelle

  • Einen Tag nach der Veröffentlichung der Patch Tuesday-Updates hat Microsoft eine weitere Sicherheitslücke in der Windows Print Spooler-Komponente eingeräumt und mitgeteilt, dass das Problem in einem kommenden Sicherheitsupdate behoben wird.

    Die als CVE-2021-36958 (CVSS-Score: 7.3) bezeichnete Schwachstelle ist die jüngste in einer Reihe von Fehlern, die unter dem Namen PrintNightmare bekannt sind und die in den letzten Monaten für den Druckerdienst bekannt geworden sind. Victor Mata von FusionX, Accenture Security, dem die Meldung der Schwachstelle zugeschrieben wird, sagte, dass das Problem im Dezember 2020 an Microsoft gemeldet wurde.

    [Blocked Image: https://thehackernews.com/images/-OoudkWOwaI4/YMt1nG7ZqHI/AAAAAAAA4Qo/zhvoTujBMzIboAsA28Ekt3IPPv7HQZb4ACLcBGAsYHQ/s728-e100/free-ad-7-728.png]

    “Es besteht eine Sicherheitsanfälligkeit für Remotecodeausführung, wenn der Windows Print Spooler-Dienst unsachgemäß privilegierte Dateioperationen durchführt”, so das Unternehmen in seinem Out-of-Band-Bulletin, das die Details der Sicherheitsanfälligkeit CVE-2021-34481 aufgreift. “Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code mit SYSTEM-Rechten ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.”

    [Blocked Image: https://thehackernews.com/images/-2GxRoKJtyWA/YRSwMjr9x2I/AAAAAAAADgY/_N1Bo0X9GrsWaOMamfoYSHTTfcM5ZJYbwCLcBGAsYHQ/s728-e1000/PRINTER.jpg]

    Es ist erwähnenswert, dass der Windows-Hersteller inzwischen Updates veröffentlicht hat, um das Standardverhalten von Point and Print zu ändern, wodurch Benutzer, die keine Administratoren sind, effektiv daran gehindert werden, neue und vorhandene Druckertreiber zu installieren oder zu aktualisieren, indem sie Treiber von einem Remote-Computer oder -Server verwenden, ohne sich zuvor zum Administrator zu erheben.

    Als Workarounds empfiehlt Microsoft den Benutzern, den Print Spooler-Dienst zu stoppen und zu deaktivieren, um zu verhindern, dass böswillige Akteure die Sicherheitslücke ausnutzen können. Das CERT Coordination Center rät in einem Hinweis auf die Schwachstelle außerdem, den ausgehenden SMB-Verkehr zu blockieren, um zu verhindern, dass eine Verbindung zu einem bösartigen freigegebenen Drucker hergestellt wird.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com