[English]Im Blog-Beitrag PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien hatte ich über eine neue Schwachstelle in Windows berichtet. Ein Remote Print-Server, der von Unbefugten erreichbar ist, ermöglicht über Point-and-Print beliebige Schaddateien auf den Clients zu installieren. Im Artikel hatte ich auch Möglichkeiten zur Entschärfung genannt. Nun hat ACROS Security eine kostenlose 0Patch-Lösung für verschieden Windows Server-Versionen vorgelegt, die die Ausnutzung der Schwachstelle verhindert.
Anzeige
Neuer Angriffsvektor Print-Server
Sicherheitsforscher Benjamin Delpy hat inzwischen mehrere Varianten der Angriffsmöglichkeiten auf die Druckerschnittstelle veröffentlicht. Der Angreifer richtet einen Drucker mit einem modifizierten Treiber auf einem Rechner ein, den er kontrolliert. Im zweiten Schritt installiert er diesen Drucker dann mit Point and Print auf einem anderen Windows-Computer. Durch diesen Schachzug erlangt er auch als normaler Benutzer die vollständige Kontrolle über diesen Computer. Es geht hier zwar nur um eine lokale Privilegienerweiterung, zum Problem wird das, wenn der Angreifer in Verbindung mit Social Engineering einen Benutzer dazu bringt, Schadcode lokal auszuführen.
Die 0Patch-Lösung für dieses Szenario
Das Team von ACROS Security, welches seit Jahren die 0Patch-Lösung bereitstellt, hat die Schwachstelle analysiert und auf die Schnelle einen Micropatch entwickelt, um die Schwachstelle unschädlich zu machen. Mitja Kolsek hat mich über Twitter auf diese kostenlose Lösung aufmerksam gemacht.
Das Ganze ist in diesem Blog-Beitrag von 0patch detaillierter beschrieben. Die 0patch Micropatches stehen kostenlos für folgende Produkte bereit:
Anzeige
- Windows Server 2019 (updated with July 2021 Updates)
- Windows Server 2016 (updated with July 2021 Updates)
- Windows Server 2012 R2 (updated with July 2021 Updates)
- Windows Server 2012 (updated with July 2021 Updates)
- Windows Server 2008 R2 (updated with January 2020 Updates, no Extended Security Updates)
- Windows Server 2008 R2 (updated with January 2021 Updates, first year of Extended Security Updates only)
- Windows Server 2008 R2 (updated with July 2021 Updates, second year of Extended Security Updates)
- Windows 10 v21H1 (updated with July Updates)
- Windows 10 v20H2 (updated with July Updates)
- Windows 10 v2004 (updated with July Updates)
- Windows 10 v1909 (updated with July Updates)
- Windows 10 v1903 (updated with December 2020 Updates – latest before end of support)
- Windows 10 v1809 (updated with May 2021 Updates – latest before end of support)
- Windows 10 v1803 (updated with May 2021 Updates – latest before end of support)
- Windows 10 v1709 (updated with October 2020 Updates – latest before end of support)
- Windows 7 (updated with January 2020 Updates, no Extended Security Updates)
- Windows 7 (updated with January 2021 Updates, first year of Extended Security Updates only)
- Windows 7 (updated with July 2021 Updates, second year of Extended Security Updates)
Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (wie z.B. hier).
Ähnliche Artikel
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
0patch fixt CVE-2020-1013 in Windows 7/Server 2008 R2
0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec
0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle
0patch fixt 0-day im Internet Explorer
0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2
0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)
0Patch bietet Support für Windows 10 Version 1809 nach EOL
Windows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
Anzeige
Der Angriff funktioniert nur, wenn man Point and Print aktiviert hat, per Default ist das in Domänen erstmal aus, und MS empfiehlt auch, es aus zu lassen. Bei der Konfiguration von Point and Print gibt es aber eine Option, um die Funktion auf bestimmte Printserver, die man natürlich selbst unter Kontrolle hat, einzuschränken, die man per FQDN in die Gruppenrichtlinie einträgt. Auch dann funktioniert der Angriff nicht mehr. Delpys Demoprintserver ist über das Internet erreichbar, aber wenn man die SMB-Ports zwischen Clients und dem Internet per Firewall dicht macht (sollte man sowieso tun!), kann man sich auch recht entspannt zurücklehnen, solange es dem Angreifer nicht gelingt, einen manipulierten Printserver ins internet Netz zu stellen.