{"id":255469,"date":"2021-07-07T07:19:43","date_gmt":"2021-07-07T05:19:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255469"},"modified":"2021-07-14T08:54:57","modified_gmt":"2021-07-14T06:54:57","slug":"notfall-update-schliet-printnightmare-schwachstelle-in-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/07\/notfall-update-schliet-printnightmare-schwachstelle-in-windows\/","title":{"rendered":"Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)"},"content":{"rendered":"

\"Update\"[English<\/a>]Zum 6. Juli 2021 hat Microsoft neben den regul\u00e4ren Office-Updates (siehe\u00a0 Microsoft Office Patchday (6. Juli 2021), Fix f\u00fcr Outlook-Abst\u00fcrze<\/a>) auch ein Notfall-Update zum Schlie\u00dfen der PrintNightmare-Schwachstelle im Windows Print-Spooler freigegeben. Blog-Leser Harald L. hat in diesem Kommentar<\/a> auf dieses Update hingewiesen. Eine zeitnahe Installation dieses sicherheitskritischen Updates wird empfohlen – wobei Administratoren in Server-Umgebungen erst einen Test vorschieben sollten.<\/p>\n

<\/p>\n

Die Schwachstelle CVE-2021-1675<\/h2>\n

\"\"Anfang Juli 2021 hatte ich im Blog-Beitrag PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a> \u00fcber die Schwachstelle CVE-2021-1675 im Windows Print-Spooler berichtet. Es handelt sich um einer Remote Code Execution (RCE) Schwachstelle, \u00fcber die ein Angreifer beliebigen Code mit SYSTEM-Rechten ausf\u00fchren k\u00f6nnte. Dies umfasst Programme zu installieren, Daten anzuzeigen, zu \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten zu erstellen. F\u00fcr einen Angriff muss ein authentifizierter Benutzer RpcAddPrinterDriverEx() aufrufen.<\/p>\n

Problem war, dass eine Gruppe chinesischer Sicherheitsforscher am 28. Juni 2021 unbeabsichtigt ein Proof-of-Concept (PoC) zur Ausnutzung der Schwachstelle ver\u00f6ffentlicht hat. Microsoft hat das Ganze best\u00e4tigt und die US CISA empfahl, den Windows Print-Spooler-Dienst aus Sicherheitsgr\u00fcnden zu deaktivieren, da es bereits Angriffe gab. Ich hatte im Blog-Beitrag Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS best\u00e4tigt; CISA warnt<\/a> dar\u00fcber berichtet.<\/p>\n

Sonderupdate zum 6. Juli 2021 freigegeben<\/h2>\n

Ich hatte wegen der Dringlichkeit bereits mit einem Sonder-Update zum 1. Dienstag im Juli gerechnet, gestern aber noch nichts gefunden. Nun hat Blog-Leser Harald L. in diesem Kommentar<\/a> auf dieses Update hingewiesen:<\/p>\n

Gestern nach 19 Uhr wie \u00fcblich kamen am WSUS nur die beiden oben genannten Office-Updates. \u00dcber Nacht aber kamen am WSUS zus\u00e4tzlich die kumulativen Updates 2021-07 f\u00fcr alle Windows-Versionen die eigentlich erst n\u00e4chste Woche am B-Patchday erwartet wurden. Auch mein Firmen-Notebook mit Win10 21H1 das nicht am WSUS h\u00e4ngt findet gerade das kumulative Update 2021-07 KB5004945. Evtl wurden diese Updates wegen der Printspooler-Problematik vorzeitig freigegeben.<\/p><\/blockquote>\n

Die Vermutung, dass es sich um ein Sonderupdate handelt, welches die oben beschriebene Drucker-Problematik CVE-2021-34527<\/a> schlie\u00dfen soll, kann ich best\u00e4tigen. Die Nacht habe ich eine E-Mail mit folgendem Text erhalten:<\/p>\n

*********************************************************************
\nTitle: Microsoft Security Update Revisions
\nIssued: July 6, 2021
\n*********************************************************************<\/p>\n

Summary
\n=======<\/p>\n

The following CVE has undergone a major revision increment.<\/p>\n

=====================================================================<\/p>\n

* CVE-2021-34527<\/p>\n

CVE-2021-34527<\/a> | Windows Print Spooler Remote Code Execution Vulnerability-
\n– Version: 2.0
\n– Reason for Revision: CVE updated to announce that Microsoft is releasing an update
\nfor several versions of Window to address this vulnerability. Updates are not yet
\navailable for Windows 10 version 1607, Windows Server 2016, or Windows Server 2012.
\nSecurity updates for these versions of Windows will be released soon. Other
\ninformation has been updated as well. This information will be updated when more
\ninformation or updates are available.
\n– Originally posted: July 1, 2021
\n– Updated: July 6, 2021
\n– Aggregate CVE Severity Rating: Critical<\/p>\n

Inzwischen gibt es auch diesen KB-Artikel<\/a>. Microsoft hat f\u00fcr f\u00fcr verschiedene Windows-Versionen zum 6. Juli 2021 ein Sonderupdate freigegeben. Diese werden \u00fcber Windows Update, WSUS und den Microsoft Update Catalog verteilt.<\/p>\n