{"id":255366,"date":"2021-07-03T00:29:58","date_gmt":"2021-07-02T22:29:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255366"},"modified":"2021-07-03T00:41:59","modified_gmt":"2021-07-02T22:41:59","slug":"0patch-micropatches-fr-printnightmare-schwachstelle-cve-2021-34527","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/03\/0patch-micropatches-fr-printnightmare-schwachstelle-cve-2021-34527\/","title":{"rendered":"0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Im Windows Printer Spooler Dienst gibt es ja eine Remote Execution-Schwachstelle, die vor allem Windows Server-Systeme bedroht und bereits aktiv ausgenutzt wird. Von Microsoft gibt es bisher nur eine Best\u00e4tigung der Schwachstelle sowie Hinweise, wie man das Problem durch Abschalten des Windows Printer Spooler Diensts bis zum Vorliegen eines Sicherheitsupdates abschw\u00e4chen kann. Nun hat ACROS Security eine kostenlose 0Patch-L\u00f6sung f\u00fcr verschieden Windows Server-Versionen vorgelegt, die die Ausnutzung der Schwachstelle verhindert.<\/p>\n

<\/p>\n

Die Schwachstelle CVE-2021-1675<\/h2>\n

\"\"In allen Windows-Versionen, von Windows 7 SP1 bis hin zu Windows 10, sowie in den Server Pendants gibt es eine Remote Code Execution (RCE) Schwachstelle (CVE-2021-34527) im Windows Print Spooler-Dienst. Die Sicherheitsanf\u00e4lligkeit f\u00fcr eine Remotecodeausf\u00fchrung besteht, wenn der Windows Print Spooler-Dienst unsachgem\u00e4\u00df privilegierte Dateioperationen durchf\u00fchrt.<\/p>\n

Ein Angreifer, der diese Sicherheitsl\u00fccke erfolgreich ausnutzt, k\u00f6nnte beliebigen Code mit SYSTEM-Rechten ausf\u00fchren. Der Angreifer k\u00f6nnte dann Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten erstellen. F\u00fcr einen Angriff muss ein authentifizierter Benutzer RpcAddPrinterDriverEx() aufrufen.<\/p>\n

Microsoft seine Sicherheitsbeschreibung zur Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-34527<\/a> diesbez\u00fcglich \u00fcberarbeitet. Ich hatte hier im Blog in den Beitr\u00e4gen PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a> und Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS best\u00e4tigt; CISA warnt<\/a> \u00fcber den Sachverhalt berichtet.<\/p>\n

Von Microsoft gibt es bisher kein Sicherheitsupdate, welches die Schwachstelle schlie\u00dft, sondern nur einige Hinweise im Artikel Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-34527<\/a>, was man ggf. zur Abschw\u00e4chung des Angriffsvektors tun kann (Drucker-Spooler-Dienst deaktivieren, ACL-Einstellungen anpassen).\u00a0 Das hat aber u.U. gr\u00f6\u00dfere Nebenwirkungen.<\/p>\n

Die 0Patch-L\u00f6sung f\u00fcr PrintNightmare<\/h2>\n

Das Team von ACROS Security, welches seit Jahren die 0Patch-L\u00f6sung bereitstellt, hat die Schwachstelle analysiert und auf die Schnelle einen Micropatch entwickelt, um die Schwachstelle CVE-2021-1675 unsch\u00e4dlich zu machen. Mitja Kolsek hat mich \u00fcber Twitter<\/a> auf diese kostenlose L\u00f6sung aufmerksam gemacht.<\/p>\n

\"Free<\/a><\/p>\n

Das Ganze ist in diesem Blog-Beitrag<\/a> von 0patch detaillierter beschrieben. Die 0patch Micropatches stehen kostenlos f\u00fcr folgende Produkte bereit:<\/p>\n