PrintNightmare RCE: Microsofts Notfallpatch behebt Sicherheitslücke nicht vollständig

PrintNightmare: Notfallpatch behebt Sicherheitslücke nicht vollständig

08.07.2021 von honeybee Lesezeit: 2 Min.

Microsoft stelle kürzlich einen Notfallpatch bereit, der PrintNightmare aber nicht immer behebt. Deaktivierung des Druckerspools empfohlen.

Kürzlich wurde bekannt, dass ein schweres Sicherheitsproblem im Druckerspool von Windows existiert. Die unter CVE-2021-34527 bekannte Sicherheitslücke erlaubt die Ausführung von beliebigem Code aus der Ferne (RCE). Microsoft stellte kürzlich einen Notfallpatch bereit. Dieser behebt PrintNightmare, aber nicht bei jeder Systemkonfiguration.

Pentestingtool Mimikatz implementiert neue Angriffstechnik bereits

Benjamin Delphy aka. gentilkiwi veröffentlichte bereits gestern eine neue Version seines Pentestingtools Mimikatz, Sein Programm erlaubt es PrintNightmare weiterhin auszunutzen, um einen Rechner aus der Ferne zu übernehmen. Um sich weiterhin der Lücke zu bedienen, nutzt er eine fehlerhafte Logik im Softwaremodul localspl.dll aus. Sie soll identifizieren ob ein Dateipfad zu einer lokalen Datei gehört oder nicht. Durch Hinzufügen von zwei Fragezeichen zwischen dem Pfadbeginn „“, also „??“ verwirrt, kann localspl aber ausgetrickst werden. Dadurch bringt der Patch nicht die erhoffte Wirkung.

Ursache von PrintNightmare liegt in ACL

Die Ursache von PrintNightmare liegt in einer fehlenden Prüfung in der Zugriffssteuerung ACL. ACL schränkt normalerweise ein, welcher Nutzer, beziehungsweise welcher Prozess, auf bestimmte Systemfunktionen, Dienste oder Dateien zugreifen darf. Die Zugriffssteuerung prüft aber in diesem Fall die Funktionen AddPrinterDriverEx, RpcAddPrinterDriver, RpcAsyncAddPrinterDriver nicht ausreichend. Ein Angreifer kann dem System deshalb einen verseuchten Treiber unterschieben. Schlussendlich erlaubt das die Ausführung von eigenem Code mit Systemrechten.

Workarounds zum Absichern des Systems

Mit dem letzten Patch funktioniert PrintNightmare nur noch, wenn die Point-and-Klick-Einschränkungen via NoWarningNoElevationOnInstall aktiviert sind. Alternativ bietet es sich an, den Druckerspool per Gruppenrichtlinie oder Kommandozeile zu deaktivieren.

Kommandozeile

Get-Service -Name Spooler Stop-Service -Name Spooler -Force Set-Service -Name Spooler -StartupType Disabled

Gruppenrichtlinie

Starte den Gruppenrichtlinieneditor zum Beispiel über Start, Ausführen, „gpedit.msc“. Die Richtlinie kann man unter „Computerkonfiguration“, „Administrative Vorlagen“, „Drucker“, „Annahme von Client-Verbindungen zum Druckspooler zulassen“ deaktivieren.

PrintNightmare steht im Verdacht, Einfallstor für Ransomware in der Kreisverwaltung Anhalt-Bitterfeld zu sein

Der Landkreis Anhalt-Bitterfeld in Sachsen-Anhalt wurde von Ransomware befallen. In Köthen, Bitterfeld und Zerbst mussten die Computersysteme heruntergefahren werden. Die kürzlich bekannt gewordene Sicherheitslücke PrintNightmare soll von der Ransomware ausgenutzt worden sein, um die Systeme des Kreises zu befallen. Es wird damit gerechnet, dass die Kreisverwaltung diese Woche komplett schließen muss. Schlimmstenfalls für einige Wochen. Nicht nur der normale Geschäftsbetrieb ist dabei betroffen, sondern auch das Sozialamt und die KfZ-Zulassungstelle im Kreis. Der Fall wurde von der Kreisverwaltung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet, Auch Strafanzeige hat die Verwaltung bereits gestellt. Das LKA Sachsen-Anhalt beschäftigt sich mit dem Fall. Tarnkappe.info

Ein Meteorit mit Microsoft-Branding rast auf die Erde zu

Ehemaliger Direktor im Weißen Haus: Microsoft ist eine Bedrohung für die nationale Sicherheit

Der ehemalige Direktor für Cybersicherheit beschreibt in einem Interview die Zusammenarbeit mit Microsoft. Es sieht nicht gut aus.

EU-Kommission verklagt Datenschutzbeauftragten

Die EU-Kommission verklagt den EU-Datenschutzbeauftragten, weil sie weiterhin Produkte von Microsoft nutzen will.

Ein moderner Arbeitsplatz mit einem hochauflösenden Monitor

Adblocker für Windows: Schluss mit lästiger Werbung!

Schluss mit nerviger Werbung unter Windows! Heute zeigen wir euch, wie ihr mit Adblockern für Windows Werbung effektiv blockieren könnt.

Windows 10 am Scheideweg: Microsoft drängt Nutzer zum Upgrade auf Windows 11

Windows 10 am Scheideweg: Mit nervigen Vollbild-Popups versucht Microsoft, seine Nutzer zum Umstieg auf Windows 11 zu bewegen.

Datenleck bei Microsoft: Interne Passwörter öffentlich zugänglich

Enthüllung einer schwerwiegenden Sicherheitslücke bei Microsoft: Interne Passwörter und Anmeldedaten waren lange Zeit öffentlich zugänglich.

Microsoft hat mehrere KI-Modelle mithilfe einer Jailbreak-Technik namens „Skeleton Key“ dazu gebracht, verbotene Informationen preiszugeben.

Skeleton Key: Angriffsmethode ermöglicht KI-Jailbreak

Der als Skeleton Key bezeichnete Jailbreak-Angriff gestattet einem böswilligen Akteur die vollständige Kontrolle über ein KI-Modell.

Phishing-Sicherheitswarnung (Symbolbild)

Phishing dank Microsoft: Softwareriese ignoriert Sicherheitslücke

Phishing-Angriffe durch gefälschte E-Mails des Microsoft Account Security Teams können verheerende Folgen haben. Microsoft schweigt.

Microsofts neuer Servicevertrag erlaubt Totalüberwachung aller Nutzer

Microsofts neuer Servicevertrag besagt, dass man alle Inhalte der Nutzer überprüfen darf. Es wird zu Löschungen und Kontensperrungen kommen.

Ein digital gerendertes Gehirn schwebt über geöffneten Handflächen inmitten eines Netzwerks aus leuchtenden, miteinander verbundenen Knotenpunkten

Recall-KI für Windows 11: Microsoft gibt dem PC ein fotografisches Gedächtnis

Microsoft stellt die Recall-KI für Windows 11 vor und zeigt, wie diese Funktion Dateien, Webseiten und Bildschirmaktivitäten aufzeichnet.

Microsoft warnt vor Dirty Stream-Attacken auf Android-Apps

Dirty Stream: Angriffsmethode übernimmt App-Kontrolle

Viele Android-Apps mit Milliarden von Downloads sind anfällig für die neuartige Dirty-Stream-Attacke, die zahlreiche Geräten gefährdet.

Microsoft entschärft Recall-KI: Datenschutzbedenken zu groß

Microsoft reagiert auf Datenschutzbedenken und entschärft die umstrittene Recall-KI. Sicherheitsexperten mahnen jedoch weiterhin zur Vorsicht.

Microsoft PlayReady-Datenleck: Quellcode versehentlich veröffentlicht

Das Microsoft PlayReady-Datenleck: Wie ein scheinbar harmloser Forumsbeitrag zur Preisgabe von 4 Gigabyte internem Code führte.

Vergrößerungsglas und online Fingerabdruck

Arion Kurtaj: GTA 6-Hacker bleibt in forensischer Psychiatrie

Der GTA-6-Hacker Arion Kurtaj muss so lange in der forensischen Psychiatrie bleiben, bis er nicht mehr gefährlich für die Allgemeinheit ist.

Palantir stellt KI-Produkte auf Microsoft Azure für US-Behörden zur Verfügung

Microsoft kooperiert mit dem US-Technologiekonzern Palantir zum Verkauf von Cloud- und KI-Lösungen an US-Behörden.

Microsoft Copilot Studio: Datenleck durch SSRF-Schwachstelle möglich

Die SSRF-Sicherheitslücke CVE-2024-38206 ermöglichte Copilot Studio den Zugriff auf interne Dienste in den Rechenzentren von Microsoft.

Storm-1811 missbraucht Microsoft Quick Assist zum Einsatz von Black Basta-Ransomware

Black Basta: Storm-1811 verankert Ransomware via Quick Assist

Storm-1811 missbraucht das Remote-Verbindungstool Quick Assist mittels Vishing-Angriffen zur Bereitstellung von Black Basta Ransomware.

Ja, wir sind uns der Ironie mit dem Inhalt der Glosse durchaus bewusst.

Die Glosse im Juni: Bei uns sind nicht nur die Temperaturen heiß

Es ist das Ende des Monats und das lässt nur einen Schluss zu: Zeit für eine neue Glosse. Dieses Mal ohne Gnade für unseren Chef.

Microsoft plant Bau von Stargate

Gemeinsam mit OpenAI will Microsoft durch den Bau des Supercomputers "Stargate" neue Maßstäbe in der Künstlichen Intelligenz setzen.