{"id":255742,"date":"2021-07-16T10:17:17","date_gmt":"2021-07-16T08:17:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255742"},"modified":"2022-02-27T07:32:50","modified_gmt":"2022-02-27T06:32:50","slug":"windows-schwachstelle-printnightmare-es-ist-noch-nicht-vorbei-15-juli-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/16\/windows-schwachstelle-printnightmare-es-ist-noch-nicht-vorbei-15-juli-2021\/","title":{"rendered":"Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Schlechte Nachrichten f\u00fcr Windows-Nutzer, denn die als PrintNightmare bekannte Problematik, das Schwachstellen im Print-Spooler-Dienst zur Rechteausweitung f\u00fchren k\u00f6nnen, besteht weiterhin. Die Sonderupdates vom 6. und 7. Juli sowie die regul\u00e4ren Sicherheitsupdates vom 13.7.2021 lassen weitere Schwachstellen offen. Auf Twitter hat jemand demonstriert, wie er auf einem voll gepatchten System Drucker als Standardnutzer installieren kann. Und Microsoft hat in der Fr\u00fch einen neuen Sicherheitshinweis ver\u00f6ffentlicht. Erg\u00e4nzung:<\/strong> Neue Variante funktioniert von allen Computer …<\/p>\n

<\/p>\n

R\u00fcckblick auf PrintNightmare<\/h2>\n

\"\"Im Windows Print-Spooler-Dienst gab und gibt es diverse Schwachstellen, die mit den regul\u00e4ren Juni 2021-Sicherheitsupdates (siehe z.B. Patchday: Windows 10-Updates (8. Juni 2021)<\/a>) sowie Sonderupdates vom 6. und 7. Juli sowie mit dem regul\u00e4ren Patchday zum 13. Juli geschlossen werden sollten (siehe Links am Artikelende).<\/p>\n

Diese Schwachstellen erm\u00f6glichen Angreifern beliebigen Code mit SYSTEM-Rechten auszuf\u00fchren (es muss nur ein Druckertreiber installiert werden). Einige Schwachstellen(CVE-2021-1675) im Windows Print-Spooler-Dienst erm\u00f6glichen eine Remote Code Execution (RCE). Ich hatte fr\u00fchzeitig im Blog-Beitrag PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a> \u00fcber die Schwachstelle berichtet.<\/p>\n

Inzwischen ist im R\u00fcckblick klar, dass Microsoft es nicht geschafft hat, die Schwachstellen in diesem Bereich durch die Updates wirksam zu beseitigen. Kaum ist ein Patch vorhanden, weisen Sicherheitsforscher nach,\u00a0 Ende Juni 2021 stellte sich aber heraus, dass die Sicherheitsupdates vom 8. Juni 2021 nicht wirklich wirkten.<\/p>\n

Zudem traten Kollateralsch\u00e4den bei der Update-Installation auf, die ich im Blog-Beitrag Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6.\/7.Juli 2021)<\/a> thematisiert habe. Das Problem mit manchen Etikettendruckern wurden dann f\u00fcr Windows 10 Version 2004 und h\u00f6her von Microsoft gefixt (siehe Windows 10: Microsoft fixt Zebra-\/Dymo-Druckproblem KB5004945 per KIR<\/a>). Erst mit dem regul\u00e4ren Patchday vom 13.7.2021 scheinen einige Probleme wie mit Zebra-Etikettendruckern beseitig.<\/p>\n

Neue Schwachstellen-Demonstration<\/h2>\n

Benjamin Delpy, u.a. der mimikatz-Entwickler, hat gestern auf Twitter ein Video \u00fcber folgenden Tweet<\/a> gepostet, das zeigt, wie er auf einem voll gepatchten System einen Druckertreiber als Standardnutzer installieren kann.<\/p>\n

\"Benjamin<\/a><\/p>\n

Der Ansatz klappt mit der Standardkonfiguration (oder mit der \u00fcber die Microsoft-Einstellungen angeblich erzwungener Sicherheit). Ein Standardbenutzer kann Treiber installieren, die dann als SYSTEM laufen, was eine lokale Privilegieneskalation (LPE) bedeutet.<\/p>\n

Ich bin die Nacht erstmals bei den Kollegen von Bleeping Computer darauf gesto\u00dfen<\/a>. Die Kollegen haben noch einige Informationen von Benjamin Deply zusammen getragen, wie die Schwachstelle ausgenutzt werden kann. So z\u00e4hlt der oben benutzte Ansatz streng genommen nicht zu den urspr\u00fcnglich als PrintNightmare bezeichneten Schwachstellen und Methoden, nutzt aber \u00e4hnliche Ans\u00e4tze. Ein Angreifer muss sich ein digital signiertes Druckertreiberpaket erstellen und es irgendwie schaffen, den Installer unter einem Standardbenutzerkonto ausf\u00fchren zu lassen. Sobald das b\u00f6sartige Paket installiert ist, hat es SYSTEM-Rechte und k\u00f6nnen sich im Netzwerk mit diesen Rechten auf andere Maschinen verbreiten.<\/p>\n

Microsoft empfiehlt (wie bereits Anfang Juli) den Print-Spooler still zu legen. Im Thread auf Twitter schreibt jemand<\/a>, dass die Modifikation der ACL-Zugriffsberechtigungen im Printer-Spooler-Ordner system32 <\/em>hilft. Es muss so eingestellt werden, dass nur Domain-Administratoren Drucker installieren d\u00fcrfen. Der Punkt ist in den Benutzerkommentaren zum Blog-Beitrag PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a> thematisiert.<\/p>\n

Wer mit GPOs experimentiert, sollte sich ggf. den Thread Nach erster Reaktion gegen Print Nightmare keine GPO basierten Druckermappings mehr m\u00f6glich<\/a> auf administrator.de durchlesen. Und falls jemand mit Zugriffsberechtigungen jongliert, sp\u00e4ter aber in Probleme l\u00e4uft, das nach einem Patch zur\u00fcckzudrehen, findet bei administrator.de den Beitrag Keine Druckerinstallation nach deaktivieren der PrintNightmare Ma\u00dfnahmen<\/a>. Ist mir die Tage unter die Augen gekommen – daher zur Vorsicht mal hier verlinkt, falls jemand in diese Falle tappt.<\/p><\/blockquote>\n

Erg\u00e4nzung:<\/strong> Benjamin Delpy hat eine neue Variante<\/a> seines Exploits erstellt, die er in Episode 4.1 vorstellt. Die neue Variante funktioniert von allen Computern\u00a0 – auch auf Windows 11 mit VBS-Security und TPM 2.0 …<\/p>\n

\"PrintNightmare<\/a><\/p>\n

Ups, wie das, soll das doch alles viel sicherer sein? Ok, war jetzt unfaire Dialektik, denn Windows 11 ist ja noch nicht ganz fertig, die arbeiten bei Microsoft noch an der Sicherheit. Rom ist ja auch nicht an einem Tag untergegangen, der Niedergang begann schleichend.<\/p><\/blockquote>\n

Microsofts Sicherheitswarnung<\/h2>\n

Die Nacht zum 15.7.2021 hat Microsoft dann die nachfolgenden Sicherheitswarnungen ver\u00f6ffentlicht und per Mail rundgeschickt. Zudem bin ich auf Twitter \u00fcber diesen Tweet<\/a> vom 16. Juli 2021 gestolpert, der auf die Schwachstelle CVE-2021-34481<\/a> hinweist.<\/p>\n

************************************************************************
\nTitle: Microsoft Security Update Revisions
\nIssued: July 15, 2021
\n************************************************************************<\/p>\n

Summary
\n=======<\/p>\n

The following CVEs have been published to the Security Update Guide or have
\nundergone informational revisions.<\/p>\n

========================================================================<\/p>\n

* CVE-2021-34481<\/p>\n

CVE-2021-33481<\/a> | Windows Print Spooler Elevation of Privilege Vulnerability
\n– Version: 1.0
\n– Reason for Revision: Information published.
\n– Originally posted: July 15, 2021
\n– Updated: N\/A
\n– Aggregate CVE Severity Rating: N\/A<\/p>\n

* CVE-2021-34527<\/p>\n

CVE-2021-34527<\/a> | Windows Print Spooler Remote Code Execution Vulnerability
\n– Version: 3.2
\n– Reason for Revision: Added FAQ information. This is an informational change only.
\n– Originally posted: July 8, 2021
\n– Updated: July 15, 2021
\n– Aggregate CVE Severity Rating: Critical<\/p>\n

* CVE-2021-33781<\/p>\n

CVE-2021-33781<\/a> | Azure AD Security Feature Bypass Vulnerability
\n– Version: 1.1
\n– Reason for Revision: Corrected CVE title. This is an informational change only.
\n– Originally posted: July 13, 2021
\n– Updated: July 14, 2021
\n– Aggregate CVE Severity Rating: Important<\/p>\n

Zwei der drei Sicherheitswarnungen beziehen sich auf Schwachstellen im Windows Print Spooler. CVE-2021-34481<\/a> wird laut Microsoft aktuell untersucht. Die obigen Hinweise sind als \"informal changes\" klassifiziert, d.h. Microsoft hat die Dokumentation bez\u00fcglich der Schwachstellen angepasst, Updates stehen nicht zur Verf\u00fcgung.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Patchday: Windows 10-Updates (8. Juni 2021)<\/a>
\nPoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a>
\nWindows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS best\u00e4tigt; CISA warnt<\/a>
\n0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
\nNotfall-Update schlie\u00dft PrintNightmare-Schwachstelle in Windows (6. Juli 2021)<\/a>
\nPrintNightmare-Notfall-Update auch f\u00fcr Windows Server 2012 und 2016 (7. Juli 2021)<\/a>
\nNachlese: Das Chaos-PrintNightmare-Notfall-Update (6.\/7.Juli 2021)<\/a>
\nWindows 10: Microsoft fixt Zebra-\/Dymo-Druckproblem KB5004945 per KIR<\/a>
\nMicrosoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher<\/a>
\nPatchday: Windows 10-Updates (13. Juli 2021)<\/a>
\nPatchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (13. Juli 2021)<\/a>
\nPatchday: Windows 8.1\/Server 2012-Updates (13. Juli 2021)<\/a>
\nMicrosoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher<\/a>
\nWindows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)<\/a>
\nPrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien<\/a>
\nMicrosoft Defender for Identity kann PrintNightmare-Angriffe erkennen<\/a>
\n0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
\n0patch-Fix f\u00fcr neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)<\/a>
\nWindows PrintNightmare, neue Runde mit CVE-2021-36958<\/a>
\nRansomware-Gang nutzt PrintNightmare f\u00fcr Angriffe auf Windows Server<\/a>
\nVice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle f\u00fcr Angriffe<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Schlechte Nachrichten f\u00fcr Windows-Nutzer, denn die als PrintNightmare bekannte Problematik, das Schwachstellen im Print-Spooler-Dienst zur Rechteausweitung f\u00fchren k\u00f6nnen, besteht weiterhin. Die Sonderupdates vom 6. und 7. Juli sowie die regul\u00e4ren Sicherheitsupdates vom 13.7.2021 lassen weitere Schwachstellen offen. Auf Twitter hat … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[],"class_list":["post-255742","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255742","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255742"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255742\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255742"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255742"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255742"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}