Microsoft stelle kürzlich einen Notfallpatch bereit, der PrintNightmare aber nicht immer behebt. Deaktivierung des Druckerspools empfohlen.
Pentestingtool Mimikatz implementiert neue Angriffstechnik bereits
Benjamin Delphy aka. gentilkiwi veröffentlichte bereits gestern eine neue Version seines Pentestingtools Mimikatz, Sein Programm erlaubt es PrintNightmare weiterhin auszunutzen, um einen Rechner aus der Ferne zu übernehmen. Um sich weiterhin der Lücke zu bedienen, nutzt er eine fehlerhafte Logik im Softwaremodul localspl.dll aus. Sie soll identifizieren ob ein Dateipfad zu einer lokalen Datei gehört oder nicht. Durch Hinzufügen von zwei Fragezeichen zwischen dem Pfadbeginn „“, also „??“ verwirrt, kann localspl aber ausgetrickst werden. Dadurch bringt der Patch nicht die erhoffte Wirkung.Ursache von PrintNightmare liegt in ACL
Die Ursache von PrintNightmare liegt in einer fehlenden Prüfung in der Zugriffssteuerung ACL. ACL schränkt normalerweise ein, welcher Nutzer, beziehungsweise welcher Prozess, auf bestimmte Systemfunktionen, Dienste oder Dateien zugreifen darf. Die Zugriffssteuerung prüft aber in diesem Fall die Funktionen AddPrinterDriverEx, RpcAddPrinterDriver, RpcAsyncAddPrinterDriver nicht ausreichend. Ein Angreifer kann dem System deshalb einen verseuchten Treiber unterschieben. Schlussendlich erlaubt das die Ausführung von eigenem Code mit Systemrechten.Workarounds zum Absichern des Systems
Mit dem letzten Patch funktioniert PrintNightmare nur noch, wenn die Point-and-Klick-Einschränkungen via NoWarningNoElevationOnInstall aktiviert sind. Alternativ bietet es sich an, den Druckerspool per Gruppenrichtlinie oder Kommandozeile zu deaktivieren.Kommandozeile
Get-Service -Name Spooler Stop-Service -Name Spooler -Force Set-Service -Name Spooler -StartupType Disabled