Microsoft hatte zuletzt im Rahmen des Juli-Patchdays bereits vorab ein außerordentliches Sicherheitsupdate für die PrintNightmare Sicherheitslücke veröffentlicht.
Es droht neues Ungemach, denn eine weitere Sicherheitslücke (CVE-2021-36958) schlummert in der Druckverwaltung. Auch bei dieser Lücke können sich Angreifer durch das Einschleusen eines Treibers (Updates) Systemrechte verschaffen.
Benjamin Delpy demonstriert das Vorgehen in einem Video. Microsoft hat mit dem letzten Update zwar dafür gesorgt, dass nur noch Admins einen neuen Druckertreiber installieren können. Ist der Treiber allerdings bereits installiert, sind keine weitere Rechte erforderlich, um sich mit einem „Drucker“ zu verbinden. Die dabei kopierte DLL-Datei sorgt dann dafür, dass sich eine Kommandozeile mit Systemrechten öffnet.
Sie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Workaround
Außer dem zeitnahen Einspielen der Sicherheitsupdates tun IT Admins gut daran, den Spooler Dienst (und ggf. andere nicht erforderliche Dienste) serverseitig deaktivieren.
Des Weiteren sollte Gruppenrichtlinien die GPO-Einstellung für Point- und Print-Verbindung auf einzig zugelassene Server limitiert werden.
Ich kann mir gut vorstellen, dass auch diese Sicherheitslücke nicht die letzte bleiben wird, Admins sollten also handeln… Mittlerweile hat die Ransomware-Branche die PrintNightmare Lücke auch in ihr Arsenal aufgenommen, um gezielt Windows Server zu attackieren und zu verschlüsseln.
Hallo,
vielen Dank für diesen interessanten Beitrag. Wieder ein sehr spannendes Thema! Hast mir auf jeden Fall geholfen. Danke dir
Ich freue mich auf weitere interessante Beitrage von dir!
Beste Grüße
Graffitiartist