[English]Im Windows Printer Spooler Dienst gibt es ja eine Remote Execution-Schwachstelle, die vor allem Windows Server-Systeme bedroht und bereits aktiv ausgenutzt wird. Von Microsoft gibt es bisher nur eine Bestätigung der Schwachstelle sowie Hinweise, wie man das Problem durch Abschalten des Windows Printer Spooler Diensts bis zum Vorliegen eines Sicherheitsupdates abschwächen kann. Nun hat ACROS Security eine kostenlose 0Patch-Lösung für verschieden Windows Server-Versionen vorgelegt, die die Ausnutzung der Schwachstelle verhindert.
Anzeige
Die Schwachstelle CVE-2021-1675
In allen Windows-Versionen, von Windows 7 SP1 bis hin zu Windows 10, sowie in den Server Pendants gibt es eine Remote Code Execution (RCE) Schwachstelle (CVE-2021-34527) im Windows Print Spooler-Dienst. Die Sicherheitsanfälligkeit für eine Remotecodeausführung besteht, wenn der Windows Print Spooler-Dienst unsachgemäß privilegierte Dateioperationen durchführt.
Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, könnte beliebigen Code mit SYSTEM-Rechten ausführen. Der Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen. Für einen Angriff muss ein authentifizierter Benutzer RpcAddPrinterDriverEx() aufrufen.
Microsoft seine Sicherheitsbeschreibung zur Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-34527 diesbezüglich überarbeitet. Ich hatte hier im Blog in den Beiträgen PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko und Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt über den Sachverhalt berichtet.
Von Microsoft gibt es bisher kein Sicherheitsupdate, welches die Schwachstelle schließt, sondern nur einige Hinweise im Artikel Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-34527, was man ggf. zur Abschwächung des Angriffsvektors tun kann (Drucker-Spooler-Dienst deaktivieren, ACL-Einstellungen anpassen). Das hat aber u.U. größere Nebenwirkungen.
Anzeige
Die 0Patch-Lösung für PrintNightmare
Das Team von ACROS Security, welches seit Jahren die 0Patch-Lösung bereitstellt, hat die Schwachstelle analysiert und auf die Schnelle einen Micropatch entwickelt, um die Schwachstelle CVE-2021-1675 unschädlich zu machen. Mitja Kolsek hat mich über Twitter auf diese kostenlose Lösung aufmerksam gemacht.
Das Ganze ist in diesem Blog-Beitrag von 0patch detaillierter beschrieben. Die 0patch Micropatches stehen kostenlos für folgende Produkte bereit:
- Windows Server 2019 (updated with June 2021 Updates)
- Windows Server 2016 (updated with June 2021 Updates)
- Windows Server 2012 (updated with June 2021 Updates)
- Windows Server 2008 R2 (updated with January 2020 Updates, no Extended Security Updates)
Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (wie z.B. hier).
Ähnliche Artikel
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
0patch fixt CVE-2020-1013 in Windows 7/Server 2008 R2
0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec
0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle
0patch fixt 0-day im Internet Explorer
0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2
0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)
0Patch bietet Support für Windows 10 Version 1809 nach EOL
Windows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959
Anzeige
Danke!
Und wieder, wie beim MSX Desaster, sind alle andere schneller als MS.
Da braucht man nichts mehr dazu sagen….
Einfach nur cool…
Überhaupt nicht cool, wenn wegen so einem Micropatch irgendein Problem auftaucht, hast du keinen Support von Microsoft. Die offiziell durch MS empfohlenen Maßnahmen (Pringter-Spooler stoppen oder gegen Druckauftrage aus dem Netz sperren) helfen ebenso – außer auf einem Rechner, der als Druckerserver im Netz agiert, und den kann man ja so einrichten, dass dortige lokale Admins anderswo keine Rechte haben, dann infiziert man maximal diesen einen Rechner, den man jederzeit ohne Datenverlust aus dem Backup wieder herstellen kann. Falls man eins hat.
Vollkommen einverstanden so sollte es sein.
Microsoft Support…, kleiner Scherz? Von denen habe ich noch nie Support benötigt, rufst du dort an?
Ich benutze 0patch, die Bezahlversion, seit 2 Jahren auf 5 Server < v2012 und 8 Windows PC < v8.
>> Microsoft Support…, kleiner Scherz?
>> Von denen habe ich noch nie Support benötigt,
>> rufst du dort an?
Nein, brauchst Du gar nicht – die rufen sogar bei Dir an, wenn sie merken, dass auf Deinem Rechner was nicht stimmt – dann arbeiten die mit Fernwartungssoftware und so und sind auch ganz freundlich !
Da fällt mir gerade ein, ich habe ja für die letzten beiden Monate noch gar keine Kontoauszüge heruntergeladen …
Gegen Bezahlung bewegt sich auch Microsoft. In diesem Fall hat Microsoft noch keine Lösung. Den Printer Spooler zu stoppen ist nur dann möglich, wenn man ihn nicht braucht. Jede Workstation in in einem Unternehmensnetzwerk braucht ihn. Durch stoppen des Printer Spoolers lässt sich das Risiko nur reduzieren und je nach Unternehmensgröße nicht mal nennenswert.
Ich weiß nicht was ich von oPatch halten soll. Wer sagt eigentlich, dass oPatch nicht ein neues Loch aufreißt?
Im Kern ist der Einwand des Support-Verlustes schon richtig und dabei habe ich nicht mal Microsoft auf dem Schirm, sondern die Applikationssoftware, die ebenfalls ein im Support stehendes Windows als Voraussetzung sieht.
Es geht um die Compliance, nicht darum, ob Microsoft angerufen werden kann oder dies wegen eines Vertrages selbstständig tut.
Im Fall eines Schadens bekommt man wohl Probleme bei der Haftung.
Wenn das Risiko durch die Abschaltung des Spoolers so geringfügig reduziert wird, wieso rät MS dann dazu ? Mein Arbeitgeber hat prompt firmenweit über Remote den Spooler abgeschaltet, und keiner kann was drucken. Selbst der Win-eigene pdf-Drucker ist nicht erreichbar.
Vom 0Patch hat in unserer IT-Abteilung noch nie wer was gehört.
Verstehe ich recht, dass es diese Lücke schon seit Langem gibt?
Hallo, ein offizieller Microsoft-Patch außerhalb des Patchdays ist wohl auf dem Weg und in Kürze verfügbar:
https://support.microsoft.com/de-de/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7
Grüße,
Jörg
Danke, ist schon im Blog Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)