Microsoft stelle kürzlich einen Notfallpatch bereit, der PrintNightmare aber nicht immer behebt. Deaktivierung des Druckerspools empfohlen.
Kürzlich wurde bekannt, dass ein schweres Sicherheitsproblem im Druckerspool von Windows existiert. Die unter CVE-2021-34527 bekannte Sicherheitslücke erlaubt die Ausführung von beliebigem Code aus der Ferne (RCE). Microsoft stellte kürzlich einen Notfallpatch bereit. Dieser behebt PrintNightmare, aber nicht bei jeder Systemkonfiguration.
Pentestingtool Mimikatz implementiert neue Angriffstechnik bereits
Benjamin Delphy aka. gentilkiwi veröffentlichte bereits gestern eine neue Version seines Pentestingtools Mimikatz, Sein Programm erlaubt es PrintNightmare weiterhin auszunutzen, um einen Rechner aus der Ferne zu übernehmen. Um sich weiterhin der Lücke zu bedienen, nutzt er eine fehlerhafte Logik im Softwaremodul localspl.dll aus. Sie soll identifizieren ob ein Dateipfad zu einer lokalen Datei gehört oder nicht. Durch Hinzufügen von zwei Fragezeichen zwischen dem Pfadbeginn „“, also „??“ verwirrt, kann localspl aber ausgetrickst werden. Dadurch bringt der Patch nicht die erhoffte Wirkung.
Ursache von PrintNightmare liegt in ACL
Die Ursache von PrintNightmare liegt in einer fehlenden Prüfung in der Zugriffssteuerung ACL. ACL schränkt normalerweise ein, welcher Nutzer, beziehungsweise welcher Prozess, auf bestimmte Systemfunktionen, Dienste oder Dateien zugreifen darf. Die Zugriffssteuerung prüft aber in diesem Fall die Funktionen AddPrinterDriverEx, RpcAddPrinterDriver, RpcAsyncAddPrinterDriver nicht ausreichend. Ein Angreifer kann dem System deshalb einen verseuchten Treiber unterschieben. Schlussendlich erlaubt das die Ausführung von eigenem Code mit Systemrechten.
Workarounds zum Absichern des Systems
Mit dem letzten Patch funktioniert PrintNightmare nur noch, wenn die Point-and-Klick-Einschränkungen via NoWarningNoElevationOnInstall aktiviert sind. Alternativ bietet es sich an, den Druckerspool per Gruppenrichtlinie oder Kommandozeile zu deaktivieren.
Kommandozeile
Get-Service -Name Spooler
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Gruppenrichtlinie
Starte den Gruppenrichtlinieneditor zum Beispiel über Start, Ausführen, „gpedit.msc“. Die Richtlinie kann man unter „Computerkonfiguration“, „Administrative Vorlagen“, „Drucker“, „Annahme von Client-Verbindungen zum Druckspooler zulassen“ deaktivieren.
PrintNightmare steht im Verdacht, Einfallstor für Ransomware in der Kreisverwaltung Anhalt-Bitterfeld zu sein
Der Landkreis Anhalt-Bitterfeld in Sachsen-Anhalt wurde von Ransomware befallen. In Köthen, Bitterfeld und Zerbst mussten die Computersysteme heruntergefahren werden. Die kürzlich bekannt gewordene Sicherheitslücke PrintNightmare soll von der Ransomware ausgenutzt worden sein, um die Systeme des Kreises zu befallen. Es wird damit gerechnet, dass die Kreisverwaltung diese Woche komplett schließen muss. Schlimmstenfalls für einige Wochen. Nicht nur der normale Geschäftsbetrieb ist dabei betroffen, sondern auch das Sozialamt und die KfZ-Zulassungstelle im Kreis. Der Fall wurde von der Kreisverwaltung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet, Auch Strafanzeige hat die Verwaltung bereits gestellt. Das LKA Sachsen-Anhalt beschäftigt sich mit dem Fall.
Tarnkappe.info