{"id":255346,"date":"2021-07-02T08:15:57","date_gmt":"2021-07-02T06:15:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255346"},"modified":"2021-07-02T08:59:42","modified_gmt":"2021-07-02T06:59:42","slug":"windows-print-spooler-schwachstelle-cve-2021-1675-printnightmare-von-ms-besttigt-cisa-warnt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/02\/windows-print-spooler-schwachstelle-cve-2021-1675-printnightmare-von-ms-besttigt-cisa-warnt\/","title":{"rendered":"Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt"},"content":{"rendered":"

\"Windows\"[English<\/a>]Kleine Aktualisierung zur als PrintNightmare<\/em> bezeichneten RCE-Schwachstelle CVE-2021-1675 im Windows Print-Spooler. Die US-CISA warnt und empfiehlt den Drucker-Spooler-Dienst auf Servern, die nicht zum Drucken gebraucht werden, abzuschalten. Und zum 1. Juli 2021 hat Microsoft best\u00e4tigt, dass die als PrintNightmare bezeichnete RCE-Schwachstelle CVE-2021-1675 noch ungepatcht ist und aktuell sogar ausgenutzt wird.<\/p>\n

<\/p>\n

\"\"Ich hatte ja bereits im Blog-Beitrag PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a> \u00fcber den eigentlichen Sachverhalt berichtet. Jetzt reagieren Microsoft und Sicherheitsbeh\u00f6rden.<\/p>\n

CISA-Warnung zu CVE-2021-1675<\/h2>\n

Die US-Beh\u00f6rde CISA hat eine Warnung zur PrintNightmare-Schwachstelle<\/a> herausgegeben. Die CERT Coordination Center (CERT\/CC) ermutigt Administratoren, den Windows Druckspooler-Dienst in Dom\u00e4nencontrollern und Systemen, die nicht drucken, zu deaktivieren.<\/p>\n

\"CISA-Warnung<\/a><\/p>\n

Dar\u00fcber hinaus sollten Administratoren die Methode aus den Anleitungen von Microsoft<\/a> anwenden, die am 11. Januar 2021 ver\u00f6ffentlicht wurden: \"Aufgrund der M\u00f6glichkeit einer Gef\u00e4hrdung muss der Druckspooler-Dienst bei Dom\u00e4nencontrollern und Active Directory-Administrationssystemen deaktiviert werden. Der empfohlene Weg, dies zu tun, ist die Verwendung eines Gruppenrichtlinienobjekts.\" Beachtet aber auch die diesbez\u00fcglichen Kommentare zu meinem Artikel PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a>.<\/p>\n

Microsoft aktualisiert seine Schwachstellenbeschreibung<\/h2>\n

Zum 1. Juli 2021 hat Microsoft seine Sicherheitsbeschreibung zur Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-34527<\/a> ver\u00f6ffentlicht und fr\u00fchere Einstufungen revidiert. Ich bin die Nacht per E-Mail und in nachfolgendem Tweet<\/a> dar\u00fcber informiert worden, ein Blog-Leser weist hier<\/a> aber auch darauf hin.<\/p>\n

<\/a><\/p>\n

Microsoft hat der Schwachstelle die CVE-2021-34527 zugewiesen und best\u00e4tigt, dass man sich einer Remote Code Execution (RCE) Schwachstelle im Windows Print Spooler bewusst sei. Die Sicherheitsanf\u00e4lligkeit f\u00fcr eine Remotecodeausf\u00fchrung besteht, wenn der Windows Print Spooler-Dienst unsachgem\u00e4\u00df privilegierte Dateioperationen durchf\u00fchrt.<\/p>\n

Ein Angreifer, der diese Sicherheitsl\u00fccke erfolgreich ausnutzt, k\u00f6nnte beliebigen Code mit SYSTEM-Rechten ausf\u00fchren. Der Angreifer k\u00f6nnte dann Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten erstellen. F\u00fcr einen Angriff muss ein authentifizierter Benutzer RpcAddPrinterDriverEx() aufrufen.<\/p>\n

Diese Sicherheitsanf\u00e4lligkeit unterscheidet sich von der im Juni 2021 gepatchten Sicherheitsanf\u00e4lligkeit CVE-2021-1675 in RpcAddPrinterDriverEx(). Auch der Angriffsvektor ist ein anderer. Nur die alte Schwachstelle CVE-2021-1675 wurde durch das Sicherheitsupdate vom Juni 2021 behoben.<\/p>\n

Microsofts Empfehlungen zur Absicherung<\/h3>\n

Im Artikel best\u00e4tigt Microsoft, dass die Schwachstelle inzwischen in freier Wildbahn ausgenutzt wird und das Angriffe beobachtet werden. Der Ratschlag Microsofts ist, sicherzustellen, dass die am 8. Juni 2021 ver\u00f6ffentlichten Sicherheitsupdates installiert sind. Dadurch ist zumindest die alte Schwachstelle CVE-2021-1675 beseitigt.<\/p>\n

In der Sicherheitsbeschreibung zur Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-34527<\/a> gibt Microsoft dann den Hinweis, den Print Spooler Dienst zu deaktivieren, falls keine Druckausgabe auf den Servern ben\u00f6tigt wird. Das lokale Drucken auf den Clients wird dadurch nicht beeintr\u00e4chtigt.\u00a0 Weitere Details sind der Sicherheitsbeschreibung zu entnehmen.<\/p>\n

\"MS<\/a><\/p>\n

Zudem weist Microsoft in obigem Tweet<\/a> auf Erg\u00e4nzungen f\u00fcr Kunden des Microsoft 365 Defender hin.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kleine Aktualisierung zur als PrintNightmare bezeichneten RCE-Schwachstelle CVE-2021-1675 im Windows Print-Spooler. Die US-CISA warnt und empfiehlt den Drucker-Spooler-Dienst auf Servern, die nicht zum Drucken gebraucht werden, abzuschalten. Und zum 1. Juli 2021 hat Microsoft best\u00e4tigt, dass die als PrintNightmare bezeichnete … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-255346","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255346","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255346"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255346\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255346"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255346"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255346"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}