Infrastruktur-PentestJan Kahmen10 min Lesezeit

Sicherheitslücke PrintNightmare in Windows

Mit PrintNightmare kann Schadcode von Angreifern in das Microsoft-System eindringen und mit Hilfe von Berechtigungen die Schwachstelle ausnutzen.

Inhaltsverzeichnis

Die Sicherheitslücke

Seit dem sogenannten Zero Day besteht eine ernst zu nehmende Sicherheitslücke auf Endgeräten mit einem aktuellen Windows Betriebssystem. Eine ungepatchte Schwachstelle sowie der öffentlich gewordene Exploit-Code tragen dazu bei, dass die Sicherheitseinstufung mittlerweile als kritisch gilt.
Das Problem ist die Druckwarteschlange: Über sie kann Schadcode von Angreifern in das System eindringen und mit Hilfe von System-Berechtigungen den gewünschten Schadcode ausführen. Das ermöglicht es böswilligen Akteuren, die remote Windows-Versionen zu kompromittieren.

Chinesische Sicherheitsforscher geben die Lücke bekannt

Ein chinesisches Team an Sicherheitsforschern gab die Sicherheitslücke bekannt. Es ging davon aus, bei der Schwachstelle würde es sich um die gepatchte Sicherheitslücke CVE-2021-1675 handeln. Stattdessen betrifft das Problem laut Microsoft die neue Schwachstelle CVE-2021-34527. Ein konkretes Datum, bis wann diese behoben ist, gibt es bisher noch nicht.
Allerdings hat Microsoft ebenfalls bekannt gegeben, dass Hacker die Zero-Day-Lücke bereits jetzt für Angriffe nutzen. Aus diesem Grund empfiehlt Ihnen die US-Behörde CISA, mit einem Workaround zu arbeiten. Er besteht darin, den Druckspoolerdienst im Domänencontroller zu deaktivieren. Wie genau Sie dabei vorgehen müssen, erklärt Microsoft in einer detaillierten Anleitung.

Ein IT-Alptraum aus dem Drucker

Die Sicherheitslücke trägt den Namen als PrintNightmare (Druck-Albtraum), weil IT-Teams den Druckspooler nicht einfach stoppen können. Auf die Veröffentlichung des Patches konnten sie jedoch genauso wenig warten. Immerhin sind die meisten Firmen darauf angewiesen, zu drucken. Das machte ein robustes Überwachungssystem bisher zur einzigen Chance, die der IT blieb, um ihr Unternehmen zu schützen. Mit der richtigen Überwachung erkannten sie bösartige Prozesse, die der Spoolerdienst aktuell erzeugen könnte. Obwohl es keine einfache Aufgabe ist, empfehlen Sicherheitsexperten eine stete Überwachung dringend.

Was tun? Das empfiehlt Microsoft bisher

Die Sicherheitslücke PrintNightmare im Betriebssystem von Windows wurde unabsichtlich veröffentlicht. Bisher galt der 13. Juli möglicherweise als Release-Datum für ein Patch. Aber da auch Microsoft lange kein genaues Datum nennen konnte, gaben die Sicherheitsexperten erste Ratschläge, wie mit dem Problem umzugehen ist.
Sollten Sie ein Windows Betriebssystem zwischen Windows 7 und Windows 10 nutzen, bereiten Sie sich idealerweise auf einen Angriff vor. Da die Methoden öffentlich sind, um diese Schwachstelle auszunutzen, ist eine Attacke überaus wahrscheinlich. Der Rat an die Administratoren lautet deshalb:

  • Auf sämtlichen Rechnern, die den Printer-Spooler-Dienst nicht benötigen, sollten Sie ihn deaktivieren. Wichtig: Es ist bisher unklar, ob es ausreicht, den Dienst anzuhalten. Deshalb sind Sie mit der Deaktivierung auf der sicheren Seite.
  • Für alle Systeme, die auf den Print-Spooler-Dienst angewiesen sind, gilt: Stellen Sie sicher, dass diese Systeme nicht mit dem Internet verbunden sind und somit die Schadsoftware nicht downloaden können.

Diese Lösungsansätze sichern Sie zwar in einem gewissen Maße ab, sind allerdings nicht immer umsetzbar. Gerade bei Endgeräten, die auf den Print-Spooler-Dienst angewiesen sind, sich aber außerhalb Ihres LANs befinden, sollten Sie Vorsicht walten lassen. Schränken Sie deshalb die Zugriffsereignisse und die Zugriffsberechtigungen ausgesprochen sorgfältig ein. Zusätzlich ist es wichtig, dass sie beides überwachen. Wegen der Sicherheitslücke sollten Sie außerdem darauf verzichten, den Dienst auf Domain-Controllern zu betreiben.
Alternativ bietet es sich an, dass Sie das Verzeichnis System32 einschränken. In diesem Fall entziehen Sie ihm die Berechtigung, Modifikationen vorzunehmen. Sobald an dieser Stelle die System-Berechtigungen fehlen, kann der Exploit nicht funktionieren.

Workaround: System absichern

Ein wichtiger Workaround ist es, Ihr System gegen Angriffe abzusichern - dazu haben Sie verschiedene Optionen. Welche davon für Sie geeignet ist, hängt unter anderem mit Ihrer Berechtigung im System zusammen.

  • Als Domain-Admin haben Sie die Möglichkeit, den Spooler zu deaktivieren. Anschließend können Sie jedoch weder lokal noch über das Netzwerk drucken.
  • Eine andere Option ist es, den Service über eine Gruppenrichtlinie zu deaktivieren. Der Vorteil liegt darin, dass das lokale Drucken weiterhin funktioniert. In diesem Fall fungiert das System jedoch nicht länger als Drucker-Server. Wichtig: Um Ihre Gruppenrichtlinie zu aktivieren, müssen Sie den Dienst neu starten.
  • Mithilfe eines Powershell-Skripts, beispielsweise von der Sicherheitsfirma Truesec, können Sie ebenfalls vorsorgen. Dieses Skript verbietet es dem Benutzer, Änderungen am System Verzeichnis vorzunehmen. Ist das nicht länger möglich, kann der Schadcode Ihr System nicht kompromittieren.

Ein neuer Patch ist da!

Das im Juni 2021 veröffentlichte Patch hat die Sicherheitslücke nicht geschlossen. Deshalb stuften Experten den Bug als kritisch ein und er erhielt von Microsoft eine hohe Priorität. Das bedeutet, dass sich die Entwickler wie auch die Sicherheitsbeauftragten darum kümmern, die Schwachstelle schnellstmöglich zu beheben.
Trotzdem konnte Microsoft bisher kein genaues Datum für ein erneuertes Sicherheitspatch nennen. Zunächst gingen Experten davon aus, dass das notwendige Update erst am Patchday eingespielt wird: Also am 13. Juli 2021. Bis es so weit ist, sollten die in Unternehmen zuständigen Admins den Printer-Spooler-Service deaktivieren.
Glücklicherweise hat Microsoft nun ein Out-Of-Band-Patch veröffentlicht, also ein Patch außerhalb der Reihe. Es trägt den Namen KB5004945 und deckt bisher alle Windows 10 Versionen von 1809 aufwärts ab. Es empfiehlt sich, schnellstmöglich über das Menü „Einstellungen“ nach Updates zu suchen, und KB5004945 herunterzuladen. Zusätzlich sollten Sie die Sicherheitsrichtlinie aktivieren, die es ausschließlich Administratoren erlaubt, Druckertreiber zu installieren.

Schwachstellenscan ist wichtig

Damit Sie sich erfolgreich vor einem Angriff schützen können, ist ein regelmäßiger Schwachstellenscan überaus wichtig. Mit ihm prüfen Sie Ihr System auf potenzielle Sicherheitslücken, die eine Möglichkeit bieten, unerwünscht in Ihr Netzwerk einzudringen. Vergessen Sie dabei nicht die sogenannte Schatten-IT in Ihrem Unternehmen. Zwar müssen Sie diese nicht per se fürchten, aber ein Auge auf sie zu haben, komplettiert Ihren Scan.

Wie geht der Angriff eigentlich vonstatten?

Das Problem des PrintNightmare befindet sich im Print-Spooler-Service von Microsoft. Trotz des im Juni erfolgten Patches geben unterschiedliche IT-Security-Experten an, die vollständig gepatchten Systeme erfolgreich attackiert zu haben. Die Voraussetzung für einen erfolgreichen Angriff ist eine vorherige Authentifizierung. Sobald sich der Angreifer authentifiziert hat, kann er auf die sicherheitsrelevanten System-Bereiche zugreifen.
Da die RpcAddPrinterDriverEx()-Funktion grundsätzlich als verwundbar gilt, ist sie ein wichtiger Ansatzpunkt für einen gezielten Angriff auf Ihr System. Da sie mit System-Rechten auszuführen ist, kann es an dieser Stelle zu schwerwiegenden Problemen kommen.

Aber warum genau stellt ein solcher Zugriff eine Sicherheitslücke dar?

Ist der Treiber mit Schadcode präpariert, führt das System ihn mit sämtlichen Berechtigungen aus. Das bedeutet, der Quellcode hat mit keinen Einschränkungen zu rechnen, sondern kann das Ziel des Angreifers ungehindert verfolgen. Was genau geschieht, hängt von dem Schadcode ab. Deshalb ist diese Sicherheitslücke vor allem für Unternehmen eine große Belastung. Trotzdem ist es wichtig, dass Sie sich als Privatperson vor einem solchen Angriff so gut wie möglich schützen. Schließlich fällt durch eine solche Sicherheitslücke ein Schatten auf die IT, die Sie eigentlich schützen sollte.

Was ist CVE-2021-1675?

Das sogenannte CVE-2021-1675 ist eine Sicherheitslücke, die bereits im Juni 2021 ein Patch erhielt. Der Status des Bugs bleibt als kritisch eingestuft und betrifft die RpcAddPrinterDriverEx() Funktion.
Der Grund dafür: Der Druckspoolerdienst von Windows kann die Zugriffe auf diese Funktion nicht einschränken. Dies wiederum ermöglicht es entfernt authentifizierten Angreifern beliebige Codes auszuführen. Während diese Schwachstelle schnell im Rahmen eines Sicherheitsupdates behoben war, bleibt die Sicherheitslücke PrintNightmare aktuell bestehen.
Diese kritische Schwachstelle unter Windows erlaubt es Remote-Angreifern, ihren Code auszuführen. Der dazu notwendige Code veröffentlichten Hacker auf GitHub. Zwar wurde der PoC-Code bereits nach wenigen Stunden entfernt, doch hat diese Zeit ausgereicht, um ihn zu kopieren.
Betroffen von dieser Sicherheitslücke sind sämtliche Betriebssysteme von Windows 7 bis Windows 10 sowie die Server 2008 bis 2019.

Update 13.07.2021

Die Schwachstelle wurde von Microsoft mit KB5003690 behoben.

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: