PrintNightmare RCE: Microsofts Notfallpatch behebt Sicherheitslücke nicht vollständig

Microsoft stelle kürzlich einen Notfallpatch bereit, der PrintNightmare aber nicht immer behebt. Deaktivierung des Druckerspools empfohlen.

Bildquelle: bnmk0819

Kürzlich wurde bekannt, dass ein schweres Sicherheitsproblem im Druckerspool von Windows existiert. Die unter CVE-2021-34527 bekannte Sicherheitslücke erlaubt die Ausführung von beliebigem Code aus der Ferne (RCE). Microsoft stellte kürzlich einen Notfallpatch bereit. Dieser behebt PrintNightmare, aber nicht bei jeder Systemkonfiguration.

Pentestingtool Mimikatz implementiert neue Angriffstechnik bereits

Benjamin Delphy aka. gentilkiwi veröffentlichte bereits gestern eine neue Version seines Pentestingtools Mimikatz, Sein Programm erlaubt es PrintNightmare weiterhin auszunutzen, um einen Rechner aus der Ferne zu übernehmen. Um sich weiterhin der Lücke zu bedienen, nutzt er eine fehlerhafte Logik im Softwaremodul localspl.dll aus. Sie soll identifizieren ob ein Dateipfad zu einer lokalen Datei gehört oder nicht. Durch Hinzufügen von zwei Fragezeichen zwischen dem Pfadbeginn „\\“, also „\??\“ verwirrt, kann localspl aber ausgetrickst werden. Dadurch bringt der Patch nicht die erhoffte Wirkung.

Ursache von PrintNightmare liegt in ACL

Die Ursache von PrintNightmare liegt in einer fehlenden Prüfung in der Zugriffssteuerung ACL. ACL schränkt normalerweise ein, welcher Nutzer, beziehungsweise welcher Prozess, auf bestimmte Systemfunktionen, Dienste oder Dateien zugreifen darf. Die Zugriffssteuerung prüft aber in diesem Fall die Funktionen AddPrinterDriverEx, RpcAddPrinterDriver, RpcAsyncAddPrinterDriver nicht ausreichend. Ein Angreifer kann dem System deshalb einen verseuchten Treiber unterschieben. Schlussendlich erlaubt das die Ausführung von eigenem Code mit Systemrechten.

Windows 11 Startmenü

Lesen Sie auch

Workarounds zum Absichern des Systems

Mit dem letzten Patch funktioniert PrintNightmare nur noch, wenn die Point-and-Klick-Einschränkungen via NoWarningNoElevationOnInstall aktiviert sind. Alternativ bietet es sich an, den Druckerspool per Gruppenrichtlinie oder Kommandozeile zu deaktivieren.

Kommandozeile

Get-Service -Name Spooler

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Gruppenrichtlinie

Starte den Gruppenrichtlinieneditor zum Beispiel über Start, Ausführen, „gpedit.msc“. Die Richtlinie kann man unter „Computerkonfiguration“, „Administrative Vorlagen“, „Drucker“, „Annahme von Client-Verbindungen zum Druckspooler zulassen“ deaktivieren.

PrintNightmare steht im Verdacht, Einfallstor für Ransomware in der Kreisverwaltung Anhalt-Bitterfeld zu sein

Der Landkreis Anhalt-Bitterfeld in Sachsen-Anhalt wurde von Ransomware befallen. In Köthen, Bitterfeld und Zerbst mussten die Computersysteme heruntergefahren werden. Die kürzlich bekannt gewordene Sicherheitslücke PrintNightmare soll von der Ransomware ausgenutzt worden sein, um die Systeme des Kreises zu befallen. Es wird damit gerechnet, dass die Kreisverwaltung diese Woche komplett schließen muss. Schlimmstenfalls für einige Wochen. Nicht nur der normale Geschäftsbetrieb ist dabei betroffen, sondern auch das Sozialamt und die KfZ-Zulassungstelle im Kreis. Der Fall wurde von der Kreisverwaltung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet, Auch Strafanzeige hat die Verwaltung bereits gestellt. Das LKA Sachsen-Anhalt beschäftigt sich mit dem Fall.

Tarnkappe.info

Honeybee schreibt seit Ende 2020 für die Tarnkappe. Der Einstieg war ein Reverse Engineering Artikel über die Toniebox. Die Biene liebt es Technik aller Art in ihre Bestandteile zu zerlegen. Schraubendreher und Lötkolben liegen immer in Reichweite. Themen wie Softwareentwicklung, Reverse Engineering, IT-Security und Hacking sind heiß geliebt.