Sicherheitslücke PrintNightmare in Windows

Die Sicherheitslücke

Seit dem sogenannten Zero Day existiert eine schwerwiegende Sicherheitslücke auf Endgeräten mit aktuellem Windows-Betriebssystem. Eine ungepatchte Schwachstelle und der öffentlich gewordene Exploit-Code haben dazu geführt, dass die Sicherheitseinstufung inzwischen als kritisch gilt.

Das Problem liegt in der Druckwarteschlange: Über sie können Angreifer Schadcode in das System einschleusen und ihn mit Systemrechten ausführen. Dadurch ist es böswilligen Akteuren möglich, Windows-Systeme aus der Ferne zu kompromittieren.

Chinesische Sicherheitsforscher geben die Lücke bekannt

Ein chinesisches Team von Sicherheitsforschern machte die Sicherheitslücke öffentlich. Es ging zunächst davon aus, dass es sich um die bereits gepatchte Schwachstelle CVE-2021-1675 handelt. Laut Microsoft betrifft das Problem jedoch die neue Schwachstelle CVE-2021-34527. Ein konkretes Datum für die Behebung stand zunächst nicht fest.

Microsoft hat zudem bestätigt, dass Hacker die Zero-Day-Lücke bereits aktiv für Angriffe ausnutzen. Aus diesem Grund empfiehlt die US-Behörde CISA, einen Workaround einzusetzen: Deaktivieren Sie den Druckspoolerdienst im Domänencontroller. Die genaue Vorgehensweise erklärt Microsoft in einer detaillierten Anleitung.

Ein IT-Albtraum aus dem Drucker

Die Sicherheitslücke trägt den Namen PrintNightmare, weil IT-Teams den Druckspooler nicht einfach abschalten können. Gleichzeitig war es keine Option, auf die Veröffentlichung des Patches zu warten, denn die meisten Unternehmen sind auf funktionsfähige Drucker angewiesen. Damit blieb ein robustes Überwachungssystem zunächst die einzige Möglichkeit, das Unternehmen zu schützen. Mit einem geeigneten Monitoring ließen sich bösartige Prozesse erkennen, die der Spoolerdienst möglicherweise erzeugt. Auch wenn das keine einfache Aufgabe ist, empfehlen Sicherheitsexperten eine kontinuierliche Überwachung dringend.

Was tun? Das empfiehlt Microsoft bisher

Die Sicherheitslücke PrintNightmare im Windows-Betriebssystem wurde unbeabsichtigt veröffentlicht. Zunächst galt der 13. Juli als mögliches Release-Datum für einen Patch. Da Microsoft jedoch lange kein genaues Datum nennen konnte, gaben Sicherheitsexperten erste Empfehlungen zum Umgang mit dem Problem.

Wenn Sie ein Windows-Betriebssystem zwischen Windows 7 und Windows 10 nutzen, sollten Sie sich auf einen möglichen Angriff vorbereiten. Da die Methoden zur Ausnutzung dieser Schwachstelle öffentlich bekannt sind, ist eine Attacke sehr wahrscheinlich. Der Rat an Administratoren lautet deshalb:

• Deaktivieren Sie den Printer-Spooler-Dienst auf sämtlichen Rechnern, die ihn nicht benötigen. Wichtig: Es ist bisher unklar, ob ein bloßes Anhalten des Dienstes ausreicht. Mit einer vollständigen Deaktivierung sind Sie auf der sicheren Seite.
• Stellen Sie bei allen Systemen, die auf den Print-Spooler-Dienst angewiesen sind, sicher, dass diese nicht mit dem Internet verbunden sind und die Schadsoftware somit nicht herunterladen können.

Diese Maßnahmen bieten zwar einen gewissen Schutz, sind aber nicht immer umsetzbar. Besondere Vorsicht ist bei Endgeräten geboten, die auf den Print-Spooler-Dienst angewiesen sind, sich jedoch außerhalb Ihres LANs befinden. Schränken Sie in diesem Fall die Zugriffsereignisse und Zugriffsberechtigungen besonders sorgfältig ein und überwachen Sie beides kontinuierlich. Aufgrund der Sicherheitslücke sollten Sie zudem darauf verzichten, den Dienst auf Domain-Controllern zu betreiben.

Alternativ können Sie das Verzeichnis System32 einschränken, indem Sie ihm die Berechtigung für Modifikationen entziehen. Sobald die Systemberechtigungen an dieser Stelle fehlen, kann der Exploit nicht mehr greifen.

Workaround: System absichern

Ein wichtiger Workaround besteht darin, Ihr System gezielt gegen Angriffe abzusichern. Dafür stehen Ihnen verschiedene Optionen zur Verfügung, deren Eignung unter anderem von Ihren Berechtigungen im System abhängt.

• Als Domain-Admin können Sie den Spooler deaktivieren. Beachten Sie jedoch, dass anschließend weder lokales noch netzwerkbasiertes Drucken möglich ist.
• Eine weitere Option ist die Deaktivierung des Dienstes über eine Gruppenrichtlinie. Der Vorteil: Lokales Drucken funktioniert weiterhin. Allerdings fungiert das System dann nicht mehr als Druckerserver. Wichtig: Um die Gruppenrichtlinie zu aktivieren, müssen Sie den Dienst neu starten.
• Mithilfe eines Powershell-Skripts, beispielsweise von der Sicherheitsfirma Truesec, können Sie ebenfalls vorsorgen. Das Skript unterbindet Änderungen am Systemverzeichnis durch den Benutzer. Ohne diese Möglichkeit kann der Schadcode Ihr System nicht kompromittieren.

Ein neuer Patch ist da!

Der im Juni 2021 veröffentlichte Patch konnte die Sicherheitslücke nicht schließen. Experten stuften den Bug daraufhin als kritisch ein, und Microsoft vergab eine hohe Priorität. Sowohl Entwickler als auch Sicherheitsbeauftragte arbeiteten daran, die Schwachstelle schnellstmöglich zu beheben.

Dennoch konnte Microsoft zunächst kein genaues Datum für einen neuen Sicherheitspatch nennen. Experten rechneten damit, dass das notwendige Update erst am Patchday am 13. Juli 2021 erscheinen würde. Bis dahin sollten die zuständigen Administratoren den Printer-Spooler-Dienst deaktivieren.

Glücklicherweise hat Microsoft inzwischen einen Out-of-Band-Patch veröffentlicht, also ein Update außerhalb des regulären Zyklus. Er trägt den Namen KB5004945 und deckt alle Windows-10-Versionen ab 1809 ab. Wir empfehlen, schnellstmöglich über das Menü „Einstellungen” nach Updates zu suchen und KB5004945 zu installieren. Zusätzlich sollten Sie die Sicherheitsrichtlinie aktivieren, die ausschließlich Administratoren die Installation von Druckertreibern erlaubt.

Schwachstellenscan ist wichtig

Um sich wirksam vor Angriffen zu schützen, ist ein regelmäßiger Schwachstellenscan unerlässlich. Damit prüfen Sie Ihr System auf potenzielle Sicherheitslücken, über die Angreifer in Ihr Netzwerk eindringen könnten. Vergessen Sie dabei nicht die sogenannte Schatten-IT in Ihrem Unternehmen. Diese müssen Sie zwar nicht grundsätzlich fürchten, doch ein wachsames Auge darauf vervollständigt Ihren Scan.

Wie geht der Angriff eigentlich vonstatten?

Das Problem von PrintNightmare liegt im Print-Spooler-Dienst von Microsoft. Trotz des im Juni veröffentlichten Patches berichten verschiedene IT-Security-Experten, dass sie vollständig gepatchte Systeme erfolgreich angreifen konnten. Voraussetzung für einen erfolgreichen Angriff ist eine vorherige Authentifizierung. Sobald sich der Angreifer authentifiziert hat, erhält er Zugriff auf sicherheitsrelevante Systembereiche.

Da die Funktion RpcAddPrinterDriverEx() grundsätzlich als verwundbar gilt, stellt sie einen zentralen Angriffspunkt dar. Weil sie mit Systemrechten ausgeführt wird, kann es an dieser Stelle zu schwerwiegenden Problemen kommen.

Warum stellt ein solcher Zugriff eine Sicherheitslücke dar?

Wenn der Treiber mit Schadcode präpariert ist, führt das System ihn mit sämtlichen Berechtigungen aus. Der eingeschleuste Code unterliegt keinerlei Einschränkungen und kann das Ziel des Angreifers ungehindert verfolgen. Was genau geschieht, hängt vom jeweiligen Schadcode ab. Daher stellt diese Sicherheitslücke besonders für Unternehmen eine erhebliche Bedrohung dar. Doch auch als Privatperson sollten Sie sich bestmöglich vor einem solchen Angriff schützen, denn eine derartige Schwachstelle untergräbt das Vertrauen in die IT-Sicherheit insgesamt.

Was ist CVE-2021-1675?

Bei CVE-2021-1675 handelt es sich um eine Sicherheitslücke, die bereits im Juni 2021 einen Patch erhielt. Der Bug gilt weiterhin als kritisch und betrifft die Funktion RpcAddPrinterDriverEx().

Der Grund: Der Windows-Druckspoolerdienst kann die Zugriffe auf diese Funktion nicht ausreichend einschränken. Dadurch ist es entfernt authentifizierten Angreifern möglich, beliebigen Code auszuführen. Während diese Schwachstelle schnell durch ein Sicherheitsupdate behoben wurde, besteht die Sicherheitslücke PrintNightmare weiterhin.

Die kritische Schwachstelle erlaubt es Remote-Angreifern, eigenen Code auf Windows-Systemen auszuführen. Den dafür notwendigen Code veröffentlichten Hacker auf GitHub. Der PoC-Code wurde zwar nach wenigen Stunden entfernt, doch diese Zeitspanne genügte, um ihn zu kopieren.

Betroffen sind sämtliche Betriebssysteme von Windows 7 bis Windows 10 sowie die Server-Versionen 2008 bis 2019.

Update vom 13.07.2021

Microsoft hat die Schwachstelle mit KB5003690 behoben.