Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt

Windows[English]Kleine Aktualisierung zur als PrintNightmare bezeichneten RCE-Schwachstelle CVE-2021-1675 im Windows Print-Spooler. Die US-CISA warnt und empfiehlt den Drucker-Spooler-Dienst auf Servern, die nicht zum Drucken gebraucht werden, abzuschalten. Und zum 1. Juli 2021 hat Microsoft bestätigt, dass die als PrintNightmare bezeichnete RCE-Schwachstelle CVE-2021-1675 noch ungepatcht ist und aktuell sogar ausgenutzt wird.


Anzeige

Ich hatte ja bereits im Blog-Beitrag PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko über den eigentlichen Sachverhalt berichtet. Jetzt reagieren Microsoft und Sicherheitsbehörden.

CISA-Warnung zu CVE-2021-1675

Die US-Behörde CISA hat eine Warnung zur PrintNightmare-Schwachstelle herausgegeben. Die CERT Coordination Center (CERT/CC) ermutigt Administratoren, den Windows Druckspooler-Dienst in Domänencontrollern und Systemen, die nicht drucken, zu deaktivieren.

CISA-Warnung zu CVE-2021-1675

Darüber hinaus sollten Administratoren die Methode aus den Anleitungen von Microsoft anwenden, die am 11. Januar 2021 veröffentlicht wurden: "Aufgrund der Möglichkeit einer Gefährdung muss der Druckspooler-Dienst bei Domänencontrollern und Active Directory-Administrationssystemen deaktiviert werden. Der empfohlene Weg, dies zu tun, ist die Verwendung eines Gruppenrichtlinienobjekts." Beachtet aber auch die diesbezüglichen Kommentare zu meinem Artikel PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko.


Anzeige

Microsoft aktualisiert seine Schwachstellenbeschreibung

Zum 1. Juli 2021 hat Microsoft seine Sicherheitsbeschreibung zur Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-34527 veröffentlicht und frühere Einstufungen revidiert. Ich bin die Nacht per E-Mail und in nachfolgendem Tweet darüber informiert worden, ein Blog-Leser weist hier aber auch darauf hin.

Microsoft hat der Schwachstelle die CVE-2021-34527 zugewiesen und bestätigt, dass man sich einer Remote Code Execution (RCE) Schwachstelle im Windows Print Spooler bewusst sei. Die Sicherheitsanfälligkeit für eine Remotecodeausführung besteht, wenn der Windows Print Spooler-Dienst unsachgemäß privilegierte Dateioperationen durchführt.

Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, könnte beliebigen Code mit SYSTEM-Rechten ausführen. Der Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen. Für einen Angriff muss ein authentifizierter Benutzer RpcAddPrinterDriverEx() aufrufen.

Diese Sicherheitsanfälligkeit unterscheidet sich von der im Juni 2021 gepatchten Sicherheitsanfälligkeit CVE-2021-1675 in RpcAddPrinterDriverEx(). Auch der Angriffsvektor ist ein anderer. Nur die alte Schwachstelle CVE-2021-1675 wurde durch das Sicherheitsupdate vom Juni 2021 behoben.

Microsofts Empfehlungen zur Absicherung

Im Artikel bestätigt Microsoft, dass die Schwachstelle inzwischen in freier Wildbahn ausgenutzt wird und das Angriffe beobachtet werden. Der Ratschlag Microsofts ist, sicherzustellen, dass die am 8. Juni 2021 veröffentlichten Sicherheitsupdates installiert sind. Dadurch ist zumindest die alte Schwachstelle CVE-2021-1675 beseitigt.

In der Sicherheitsbeschreibung zur Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-34527 gibt Microsoft dann den Hinweis, den Print Spooler Dienst zu deaktivieren, falls keine Druckausgabe auf den Servern benötigt wird. Das lokale Drucken auf den Clients wird dadurch nicht beeinträchtigt.  Weitere Details sind der Sicherheitsbeschreibung zu entnehmen.

MS 365 Defender Report

Zudem weist Microsoft in obigem Tweet auf Ergänzungen für Kunden des Microsoft 365 Defender hin.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

21 Antworten zu Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt

  1. Anton sagt:

    temposräres Fixit ist hier beschrieben
    https://web.archive.org/web/20230619040725/https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/
    die Skriptdatei am Besten zeitnah ausrollen (per GPO, SCCM oder anderen Deployment tools)

    Funktioniert bei ClientBetriebssystemen ohne Probleme, auf Servern leider weniger gut, da hier andere Besitzerrechte im NTFS hinterlegt sind. Da bleibt nur den Spooler Dienst, dort wo er nicht zwingend benötigt wird, zu beenden UND deaktiveren (nur beenden reicht nicht) . Das ist insbesondere bei Domänencontrollern kritisch

  2. Weiß man denn wie die Angriffe ablaufen? Laufen die über kompromittierte Webseiten oder Emailanhänge, oder können die System auch angegriffen werden nur weil sie mit dem Internet verbunden sind?

    • René sagt:

      Sofern sich jemand beim System als Domänen-Benutzer authentifiziert, hat er Zugriff auf den Spooler-Service (falls up and running) und kann sich mit diesem Exploit SYSTEM-Rechte aneignen. Was der Angreifer also "nur" braucht ist eine Verbindung zum System und eine legitime Domänen-Anmeldung. Zweiteres ergattert man durch Phishing und ersteres ist dann durch die Firewall kniffliger – aber wenn man erstmal Anmeldedaten hat und von diesem Exploit weiß, ist die Motivation fürs Erstellen einer Verbindung (zB durch weiteres Phishing?) gegeben.

      • 1ST1 sagt:

        Phishing bedeutet, der Angreifer muss physisch an einen Rechner heran kommen, der mit der Domäne verbunden ist, wird eher schwierig, vor allem wenn die bösen Buben mal wieder in der Ukraine oder Russland hocken. Einfacher ist eine Email mit guckhierreinundduhast1mioeurogewonnen.pdf.exe als Anhang zu schicken… Hoffentlich ist Applocker oder Softwarerestriction und ein guter Antivirus aktiv.

  3. Karsten sagt:

    "…Die CERT Coordination Center (CERT/CC) ermutigt Administratoren, den Windows Druckspooler-Dienst in Domänencontrollern und Systemen, die nicht drucken, zu deaktivieren…"
    Das sollte eigentlich der Standard sein! Ein DC ist kein Printserver!

    • kj070 sagt:

      Da muss ich leider widersprechen.

      1.) Die Überlegungen von MS gelten für Firmen die mehrere Server in Einsatz bringen. Das funktioniert so aber nicht in Firmen <= 20 Mitarbeiter. Da ist meist ein Essential-Server im Einsatz und die GF ist nicht willens noch einmal das doppelte für einen weiteren Standardserver auf den Tisch zu legen, nur damit man alle anderen Bedürfnisse im Netz abdecken kann.
      Die Überlegung von "Open-Sorce" funktioniert dort leider auch nicht, da Software im Einsatz ist, die zwingend einen MS-Server voraussetzt.

      und 2.) noch einmal zu kurz gedacht – nicht nur die Übernahme von AD ist das Grundproblem sonder die Übernahme des System (Server/Windows) mit Systemrechten – also Workgroup Server ohne AD haben das gleiche Problem. Da kann man dann auch jede Menge Blödsinn damit anfangen. Davon mal abgesehen, dass man AD Member Printserver auch einfach lahm legen könnte und die GF fragt, warum man denn auf einmal nicht drucken kann….

      und 3.) Warum ist diese "blöde" Spoolerdienst von Anfang an auf jedem Server aktiviert?

      Ich werde mir auf jeden Fall diese Nacht mit Frickelwerk bei meinen Kunden um die Ohren schlagen. Danke MS!

      • kj070 sagt:

        Korrektur zu 3.)

        Weil man vielleicht vom Server aus drucken will… bei abgedrehten Spooler-Service geht dann nämlich das lokale Drucken auch nicht mehr.

        Da habe ich vor lauter Ärger, auch nicht weiter als bis zur Nasenspitze gedacht.

        Soweit ich das jetzt von, 0patch beschrieben, verstanden hab sind am anfälligsten wirklich nur die DC – wobei sich das Ganze mit deren Gruppenerklärung nicht wirklich erschließt… da müssten Member-Server ja auch betroffen sein….

        • Klaus sagt:

          Es sind auch Member-Server sowie Clients von der Schwachstelle betroffen. Im Prinzip alle Windows-Rechner, auf denen der Druckerwarteschlangendienst läuft. Der Unterschied ist nur der: Mit der Übernahme eines Domain Controller übernimmt der Angreifer auch die Kontrolle über das Active Directory und damit im Prinzip die komplette Domäne. Bei einem Member-Server nur diesen und alle weiteren Ressourcen, auf die man als lokaler Admin dieses Servers über das Netzwerk Zugriff hat.

  4. Anonymous sagt:

    irgendwie widerspricht sich das ganze, denn:
    a) es sind AUCH client os betroffen
    b) es ist (zZ bekkant) NUR die DC Rolle betroffen.
    !?

  5. Daniel sagt:

    Einfach nicht mehr drucken. Papierlose Büro und so ;-).

  6. Andi sagt:

    Hallo zusammen,
    ich will das über den von Microsoft vorgeschlagenen Workaround machen und habe dafür die GPO "Allow Print Spooler to accept client connections" mit Disable konfiguriert. gpupdate /force und gpresult bestätigt, dass die GPO auf alle Test-Server und -Computer angewendet wird, dennoch kann ich ganz normal über Netzwerk drucken.
    Habt ihr eine Idee woran das liegen könnte?

    • Anonymous sagt:

      spooler dienst danach neu gestartet?

    • Stefan A. sagt:

      Das ist bei uns ebenfalls so. Ich kann auf den Netzwerkdruckern immer noch drucken.
      Hab auch in der Registry geprüft am Client, dass die Richtlinie gesetzt wurde.
      Ich interpretiere die Beschreibung der Richtlinie so, dass es nur einengende Verbindungen blockt.
      Z.B. wenn du an dem PC eine Druckerfreigabe hättest.

      Aber ich verstehe eins noch nicht:
      DCs sind bestätigt betroffen, aber was ist mit Member Servern oder Clients? Denn so wie ich den Artikel von Microsoft verstehe, wird das noch untersucht?!

      • Andi sagt:

        Nach Reboot funktioniert es, ich versuche es gleich mal mit dem Neustart des Spooler Service. Ich habe keinen Bock sämtliche Server neu zu starten.

        Edit: Ja, Spooler neu starten reicht aus. Danke für den Tipp. Jetzt greifen die Einstellungen.

        @Stefan A. Da jetzt eh niemand mehr über Netzwerk drucken kann, habe ich die GPO auf die gesamte Domäne ausgerollt. Sicher ist sicher. GL will bis Montag abwarten, ob sich eventuell was mit Patch tut, dann entscheiden wir weiter.
        Ich will ein ruhiges Wochenende.

  7. Markus23 sagt:

    Moin,

    hier hat jemand ein schönes Wrapper-script geschrieben für das originale Script von truesec (Quelle: aktualisierter truesec post):

    https://github.com/chaimblack/CyberSecurity/blob/main/PrintNightmare/PrintNightmare-GoAway.ps1

    (nur falls das auf der truesec Seite überlessen wird)

  8. Stefan sagt:

    Irgendwie, egal wo man hinhört/liest nur noch "Warnungen, Drohnungen, Experten" … ich bin langsam müde von dem Zeug.

    • HappyHippo sagt:

      Alles ist unsicher – das perfekte Szenario, um ein ganz tolles neues sicheres TPM Windows 11 auszurollen. Also zumindest aus dem Blickwinkel der Marketingabteilungen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.