Microsoft warnt: Ein weiterer ungepatchter PrintNightmare Zero-Day

  • Die Out-of-Band-Warnung geht einher mit einem funktionierenden Proof-of-Concept-Exploit für das Problem, das seit Mitte Juli kursiert.

    Einen Tag nach der Veröffentlichung des für August geplanten Patch Tuesday-Updates hat Microsoft eine Warnung vor einer weiteren ungepatchten Sicherheitslücke im Windows Print Spooler herausgegeben, die eine Privilegienerweiterung/Remote Code Execution (RCE) ermöglicht.

    Der Zero-Day-Bug mit der Bezeichnung CVE-2021-36958 wird auf der CVSS-Schweregradskala mit 7,3 bewertet, was bedeutet, dass er als “wichtig” eingestuft wird. Laut Microsoft ermöglicht er einen lokalen Angriffsvektor, der eine Benutzerinteraktion erfordert, aber die Komplexität des Angriffs ist gering, da nur wenige Privilegien erforderlich sind.

    “Es besteht eine Sicherheitslücke bei der Remote-Code-Ausführung, wenn der Windows Print Spooler-Dienst unzulässigerweise privilegierte Dateioperationen durchführt”, erklärte der Computerriese in seinem Advisory vom Mittwoch. “Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code mit SYSTEM-Rechten ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.”

    Das CERT Coordination Center wies Mitte Juli auf die Schwachstelle hin und warnte, dass ein funktionierender Exploit verfügbar sei. Dieser Proof-of-Concept (PoC), der von Benjamin Delpy erstellt wurde, enthält auch ein Video.

    Hallo Leute, ich habe die Schwachstelle im Dezember 20 gemeldet, aber auf Wunsch von MSRC keine Details bekannt gegeben. Es sieht so aus, als ob sie es heute aufgrund der jüngsten Ereignisse mit dem Druckspooler bestätigt haben.

    – Victor Mata (@offenseindepth) August 11, 2021

    Am Donnerstag veröffentlichte CERT/CC weitere Details zu diesem Problem und erklärte, dass es auf ein Versehen in den Signaturanforderungen für die “Point and Print”-Funktion zurückzuführen ist, die es Benutzern ohne Administratorrechte ermöglicht, Druckertreiber zu installieren, die über den Print Spooler-Dienst mit SYSTEM-Rechten ausgeführt werden.

    Während Microsoft verlangt, dass Drucker, die über Point installiert werden können, entweder mit einer WHQL-Freigabesignatur oder einem vertrauenswürdigen Zertifikat signiert sind, können Windows-Druckertreiber Warteschlangen-spezifische Dateien angeben, die mit der Verwendung des Geräts verbunden sind, was ein Schlupfloch für böswillige Akteure bietet.

    “Ein gemeinsam genutzter Drucker kann beispielsweise eine CopyFiles-Anweisung für beliebige Dateien angeben”, heißt es in dem CERT/CC-Bericht. “Diese Dateien, die zusammen mit den Druckertreiberdateien kopiert werden können, die mit einer digitalen Signatur versehen sind, unterliegen keiner Signaturpflicht. Darüber hinaus können diese Dateien verwendet werden, um alle signaturgeprüften Dateien zu überschreiben, die während der Druckertreiberinstallation auf dem System abgelegt wurden. Dies kann die Ausweitung lokaler Rechte auf das SYSTEM auf einem anfälligen System ermöglichen.”

    Microsoft schreibt Victor Mata von FusionX bei Accenture Security die ursprüngliche Meldung des Problems zu, das laut Mata bereits im Dezember 2020 auftrat:

    Hallo Leute, ich habe die Schwachstelle im Dezember 20 gemeldet, aber auf Wunsch von MSRC keine Details bekannt gegeben. Es sieht so aus, als ob sie es heute aufgrund der jüngsten Ereignisse mit dem Druckspooler bestätigt haben.

    – Victor Mata (@offenseindepth) August 11, 2021

    Bislang hat Microsoft noch keine Angriffe in freier Wildbahn gesehen, bei denen der Fehler ausgenutzt wurde, aber es wurde festgestellt, dass eine Ausnutzung “wahrscheinlicher” ist. Angesichts der Tatsache, dass ein funktionierender Exploit im Umlauf ist, scheint dies eine faire Einschätzung zu sein.

    Print Spooler-Palooza und der PrintNightmare

    Delpy bezeichnete diesen jüngsten Zero-Day als Teil einer Reihe von Print-Spooler-Fehlern, die unter dem Namen PrintNightmare bekannt sind.

    Der böse Traum begann Anfang Juli, als ein PoC-Exploit für einen Fehler mit der Bezeichnung CVE-2021-1675 auf GitHub veröffentlicht wurde. Der Fehler wurde ursprünglich in den Patch Tuesday-Updates von Microsoft im Juni als geringfügige Sicherheitslücke zur Erhöhung der Rechte behandelt, aber der PoC zeigte, dass es sich tatsächlich um eine kritische Windows-Sicherheitslücke handelt, die für RCE verwendet werden kann. Dies veranlasste Microsoft, eine andere CVE-Nummer – in diesem Fall CVE-2021-34527 – zu vergeben, um die RCE-Variante zu kennzeichnen, und auch einen teilweisen Notfall-Patch zu erstellen.

    “Diese Schwachstelle ist ähnlich, aber anders als die Schwachstelle, der CVE-2021-1675 zugewiesen ist, die eine andere Schwachstelle in RpcAddPrinterDriverEx() adressiert”, schrieb das Unternehmen damals in dem Advisory. “Auch der Angriffsvektor ist ein anderer. CVE-2021-1675 wurde durch das Sicherheitsupdate vom Juni 2021 behoben.”

    Beide Fehler – die eigentlich nur Varianten eines einzigen Problems sind – sind unter dem Namen PrintNightmare bekannt. Der PrintNightmare-Schirm wurde im Juli noch etwas erweitert, als ein weiterer, ähnlicher Fehler bekannt wurde, der als CVE-2021-34481 verfolgt wird. Er blieb ungepatcht, bis er schließlich mit einem Update behoben wurde, das zusammen mit den August-Patch Tuesday-Updates herausgegeben wurde (die ihrerseits drei weitere Schwachstellen im Print Spooler aufzeigten, von denen eine kritisch war).

    Print Spooler-Probleme bieten ein attraktives Betätigungsfeld für eine Reihe von Cyberkriminellen, einschließlich Ransomware-Banden. Forscher von CrowdStrike warnten in einem Bericht vom Mittwoch, dass die Betreiber der Magniber-Ransomware CVE-2021-34527 schnell zur Waffe machten, um Nutzer in Südkorea anzugreifen, wobei die Angriffe mindestens bis zum 13. Juli zurückreichen.

    “In der Technologie altert fast nichts in Würde”, sagte Chris Clements, Vice President of Solutions Architecture und Cerberus Security Officer bei Cerberus Sentinel, gegenüber Threatpost. “Der Print Spooler in Windows ist der Beweis für diese Regel. Es ist wahrscheinlich, dass sich der Code in den letzten Jahrzehnten kaum verändert hat und immer noch eine verblüffende Ähnlichkeit mit dem Quellcode aufweist, der in früheren Windows-Leaks veröffentlicht wurde. Ich habe gehört, dass man Ransomware-Banden auch als ‘technische Schuldeneintreiber’ bezeichnen könnte, was noch lustiger wäre, wenn die Menschen, die am meisten unter diesen Schwachstellen leiden, nicht die Kunden von Microsoft wären.”

    Wie man Systeme vor Angriffen auf den Druckspooler schützt

    Wie bereits erwähnt, gibt es noch keinen Patch für den Fehler, aber die Benutzer können sich schützen, indem sie einfach den Print Spooler-Dienst stoppen und deaktivieren:

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/08/12073406/Windows-Zero-Day-Workaround.png]

    Quelle: Microsoft.

    CERT/CC sagte auch, dass, da öffentliche Exploits für Print Spooler-Angriffe den SMB-Dateifreigabedienst für die Remote-Verbindung zu einem bösartigen freigegebenen Drucker verwenden, das Blockieren ausgehender Verbindungen zu SMB-Ressourcen einige Angriffe vereiteln würde, indem bösartige SMB-Drucker, die außerhalb des Netzwerks gehostet werden, blockiert werden.

    “Microsoft weist jedoch darauf hin, dass Drucker über das Web Point-and-Print Protocol freigegeben werden können, was die Installation beliebiger Druckertreiber ermöglichen kann, ohne auf SMB-Datenverkehr angewiesen zu sein”, so CERT/CC. “Außerdem könnte ein Angreifer, der sich in Ihrem Netzwerk befindet, einen Drucker über SMB freigeben, der nicht von den Regeln für ausgehenden SMB-Verkehr betroffen wäre.

    In seinem Update-Advisory für CVE-2021-34481 beschreibt Microsoft auch, wie die Standardfunktionalität “Zeigen und Drucken” geändert werden kann, die verhindert, dass Benutzer, die keine Administratoren sind, Druckertreiber aus der Ferne installieren oder aktualisieren, und die dazu beitragen könnte, den neuesten Zero-Day abzuschwächen.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/27093135/threatpost-webinar-300x51.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST an und finden Sie heraus, wo genau Angreifer es auf Sie abgesehen haben und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com