[English]Bezüglich der ursprünglich als PrintNightmare bezeichneten Problem, dass Windows-Systeme über den Print-Spooler-Dienst angreifbar sind, gibt es eine neue Warnung. Ein Remote Print-Server, der von Unbefugten erreichbar ist, ermöglicht über Point-and-Print beliebige Schaddateien auf den Clients zu installieren. Das US-CERT hat eine neue Warnung dazu herausgegeben. Es gibt aber die Möglichkeit, diese Schwachstelle über Gruppenrichtlinien zu entschärfen.
Anzeige
Über die PrintNightmare-Schwachstelle hatte ich ja einige Artikel hier im Blog, siehe Linkliste am Artikelende. Microsoft hat Updates zum Schließen der Schwachstellen herausgebracht – Sicherheitsforscher haben aber binnen Stunden neue Angriffsmöglichkeiten entdeckt, die die Patches umgehen. Bisher dachte ich immer, dass ein Angreifer zumindest einen signierten Druckertreiber bereitstellen muss, um die PrintNightmare-Schwachstelle auszunutzen. Nun kristallisiert sich heraus, dass im Beifang zu einem signierten WHQL-Treiber beliebige Dateien auf Clients übermittelt werden können.
Neuer Angriffsvektor Print-Server
Ich hatte im Beitrag Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021) darauf hingewiesen, dass Benjamin Delpy inzwischen mehrere Varianten der Angriffsmöglichkeiten auf die Druckerschnittstelle veröffentlicht hat, mich aber nicht weiter darum gekümmert. Erst über den Beitrag der Kollegen von Bleeping Computer wurde ich erneut auf das Thema aufmerksam.
In obigem Tweet weist Benjamin Delpy auf einen neuen Angriffsvektor über eine weitere Schwachstelle im Windows Print Spooler-Dienst hin. Über diese könnten Dritte einen Remote-Server verwenden, um über die Funktion "Queue-Specific Files" administrative Rechte auf einem Windows-Rechner zu erlangen.
Anzeige
Delpy hat einen öffentlich zugänglichen Remote-Print-Server erstellt (siehe diesen Tweet), der zum Testen der oben demonstrierten Sicherheitslücke verwendet werden kann. Druckt ein Windows-Client über den Print-Server, wird ein fehlender Druckertreiber per Point-and-Print installiert. Zur Installation wird zwar ein signierter Druckertreiber benötigt. Gegenüber Bleeping Computer hat Delpy aber ein spezielles Installing Queue-Specific Files Point-and-Print-Feature erwähnt.
Bei der Druckerinstallation kann eine vom Hersteller bereitgestellte Installationsanwendung eine Reihe von Dateien beliebigen Typs angeben, die mit einer bestimmten Druckwarteschlange verbunden werden sollen. Die Dateien werden auf jeden Client heruntergeladen, der eine Verbindung mit dem Druckserver herstellt. Wird dort eine schädliche DLL mit verteilt, könnte ein Angreifer über diese dann SYSTEM-Berechtigungen auf dem Windows-Client erlangen. Will Dormann hat inzwischen diese US-CERT Warnung mit einigen Erläuterungen zum Sachverhalt veröffentlicht.
Ergänzung: Inzwischen hat Delpy seinen Ansatz so erweitert, dass der Remote-Print-Server einen Systembefehl ausführt und dem Benutzer Administratorberechtigungen zugesteht. Die Kollegen von Bleeping Computer haben das Ende Juli 2021 in diesem Artikel erneut aufbereitet.
Vorgeschlagene Gegenmaßnahmen
In der US-CERT Warnung zeigt Will Dormann aber gleich zwei Ansätze auf, um die Ausnutzung dieser Schwachstelle durch Angreifer zu erschweren.
SMB-Verkehr an der Netzwerkgrenze blockieren
Da Angreifer für ihre Exploits SMB für die Verbindung zu einem bösartigen freigegebenen Drucker nutzen, lässt sich die Schwachstelle sehr einfach entschärfen. Es gilt einfach die ausgehenden SMB-Zugriffe an der Grenze des eigenen Netzwerks zu blockieren. Dann kann der Remote Print-Server nicht mehr erreicht werden, auch wenn ein Angreifer möglicherweise lokal versucht, den Drucker anzusprechen. Zu beachten ist aber, Drucker über das [MS-WPRN] Web Point-and-Print-Protokoll freigegeben werden können. Das ermöglicht die Installation beliebiger Druckertreiber, ohne auf SMB-Datenverkehr angewiesen zu sein. Außerdem könnte ein Angreifer, der sich lokal im Netzwerk befindet, einen Drucker über SMB freigeben, der nicht von den Regeln für ausgehenden SMB-Verkehr betroffen wäre.
Konfigurieren der PackagePointAndPrintServerList
In Microsoft Windows gibt es eine Gruppenrichtlinie namens "Package Point and Print – Approved servers", die Einträge in den Registrierungswerten:
HKLM\Software\Policies\Microsoft\Windows NT\Printers\PackagePointAndPrint\PackagePointAndPrintServerList
und
HKLM\Software\Policies\Microsoft\Windows NT\Printers\PackagePointAndPrint\ListofServers
verwenden. Über diese Richtlinie kann ein Administrator einschränken, welche Server von nicht-administrativen Benutzern verwendet werden dürfen, um Drucker über Point and Print zu installieren. Die Empfehlung lautet, diese Richtlinie zu konfigurieren, um die Installation von Druckern über beliebige Server zu verhindern.
Ähnliche Artikel:
Patchday: Windows 10-Updates (8. Juni 2021)
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Windows 10: Microsoft fixt Zebra-/Dymo-Druckproblem KB5004945 per KIR
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher
Patchday: Windows 10-Updates (13. Juli 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (13. Juli 2021)
Patchday: Windows 8.1/Server 2012-Updates (13. Juli 2021)
Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)
Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen
Anzeige
Kernschrott – defekt by Design…
Sowas gibt's in meinem W7 nicht! 😝
Äh doch? Der Druckdienst hat sich seit Win Vista nicht geändert?
Einzig was es nicht gibt, ist dieser Patch, welcher die Sicherheitslücke schließt.
reicht es nicht aus in der GPO "Point-and-Print-Einschränkungen" die Serverliste einzuschränken? Muss ebenfalls "Nur Point-and-Print für Pakete verwenden" und "Point-and-Print für genehmigte Server" konfiguriert werden?
Hi RudiMente,
nein reicht nicht – siehe Info in der entsprechenden GPO
"Diese Einstellung gilt nur für Point-and-Print-Verbindungen für Pakete und ist vollkommen unabhängig von der Richtlinie "Point-and-Print-Einschränkungen", die das Verhalten von nicht paketorientierten Point-and-Print-Verbindungen steuert."
Ich habe es so verstanden, die Einstellungen adressieren unterschiedliche Punkte. Ich habe beide GPO gesetzt und unseren Print-Server in der Liste gesetzt.
Moin,
was ist nun eigentlich, wenn man keinen Printserver im Einsatz hat?
Also nur lokal mit USB und ggf. einer Freigabe für den Nachbar-PC oder einzelne Netzwerkgeräte (z.B. Großformatdrucker)?
Besten Dank und schöne Grüße
Sebastian
Gibt es zu Deiner Frage eine Lösung?
Die Einstellung verhindert ja leider auch die Verwendung von Druckern im HomeOffice.