{"id":255760,"date":"2021-07-17T00:54:00","date_gmt":"2021-07-16T22:54:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255760"},"modified":"2021-07-17T06:59:33","modified_gmt":"2021-07-17T04:59:33","slug":"microsoft-defender-for-identity-kann-printnightmare-angriffe-erkennen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/17\/microsoft-defender-for-identity-kann-printnightmare-angriffe-erkennen\/","title":{"rendered":"Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der Microsoft Defender for Identity (fr\u00fcher Azure Advanced Threat Protection oder Azure ATP) hat von Microsoft die F\u00e4higkeit bekommen, Angriffe \u00fcber die PrintNightmare-Schwachstelle zu erkennen und abzuwehren. Das betrifft vor allen die Ausnutzung von Schwachstellen im Windows-Druckspooler-Dienst (einschlie\u00dflich des aktiv ausgenutzten CVE-2021-34527).<\/p>\n


\nDie PrintNightmare-Schwachstelle<\/h2>\n

\"\"Der Sachverhalt: Angreifer k\u00f6nnten Schwachstellen im Windows Print Spooler-Dienst ausnutzen, um privilegierte Dateioperationen auf unzul\u00e4ssige Weise durchzuf\u00fchren. Mircrosoft schreibt dazu:<\/p>\n

Ein Angreifer, der die M\u00f6glichkeit hat (oder erh\u00e4lt), Code auf dem Ziel auszuf\u00fchren, und die Schwachstellen erfolgreich ausnutzt, k\u00f6nnte beliebigen Code mit SYSTEM-Rechten auf einem Zielsystem ausf\u00fchren. Wenn der Angriff gegen einen Dom\u00e4nencontroller ausgef\u00fchrt wird, k\u00f6nnte ein kompromittiertes Nicht-Administratorkonto als SYSTEM Aktionen gegen einen Dom\u00e4nencontroller ausf\u00fchren.<\/p><\/blockquote>\n

Das Ganze l\u00e4uft unter dem Begriff PrintNightmare und es hat Angriffe in freier Wildbahn gegeben. Seit Juni 2021 versucht Microsoft diese Schwachstellen im Windows Print Spooler-Dienst durch Updates zu schlie\u00dfen – allerdings erfolglos.\u00a0Zur PrintNightmare-Problematik und den Update hatte ich seit Ende Juni 2021 ja einige Blog-Beitr\u00e4ge ver\u00f6ffentlicht (siehe Linkliste am Artikelende).<\/p>\n

\"PrintNightmare<\/a><\/p>\n

Auf der DefCon-Konferenz (Black Hat 2021<\/a>) will Jocob Baines zur Schwachstelle was erz\u00e4hlen (Session Bring Your Own Print Driver Vulnerability<\/a>). Da d\u00fcrften m\u00f6glicherweise weitere \u00dcberraschungen lauern. Die Black Hat 2021 findet vom 31. Juli bis 5. August 2021 in den USA in Las Vegas statt, wird aber virtuell abgehalten.<\/p>\n

PrintNightmare Angriffe erkennen<\/h2>\n

Microsoft gibt einen Hinweis f\u00fcr Administratoren, wie man einen Angriff auf den Print Spooler-Dienst m\u00f6glicherweise erkennen kann.<\/p>\n

Stellen Sie fest, ob der Print Spooler-Dienst h\u00e4ufig \u00fcber das Netzwerk verwendet wird, um Druckertreiber auf Dom\u00e4nencontrollern zu installieren.<\/p><\/blockquote>\n

Dieses Szenarios sollte selten vorkommen. Finden solche Zugriffe zum Installieren von Druckertreibern auf Dom\u00e4nencontrollern\u00a0\u00fcber das Netzwerk statt, kann das ein Anzeichen f\u00fcr einen Angriff sein.\u00a0Pr\u00fcfen Sie in diesem Fall, ob auf dem Quellcomputer ein Angriffstool wie Mimikatz oder Impacket ausgef\u00fchrt wird.<\/p>\n

Lauten die Antworten auf diese Fragen \"Ja\", liegt ein echter Angriff auf das betreffende Netzwerk vor. Dann sollten Sie den\u00a0Quellcomputer und den Ziel-Dom\u00e4nencontroller untersuchen und Aktivit\u00e4ten identifizieren, die nach dem Angriff stattgefunden haben. Microsoft gibt in diesem Artikel<\/a> Hinweise zu diesem Thema.<\/p>\n

Microsoft Defender for Identity erkennt das<\/h2>\n

Microsoft-Programm-Manager Daniel Naim hat gerade auf Twitter<\/a> darauf hingewiesen und beschreibt, dass der\u00a0Microsoft Defender for Identity (fr\u00fcher Azure Advanced Threat Protection oder Azure ATP) diese Angriffe erkennen kann. Im Tweet wird auf\u00a0diesem bereits erw\u00e4hnten Artikel<\/a> verlinkt.<\/p>\n

\"Microsoft<\/a><\/p>\n

Der Defender for Identity ist in Microsoft 365 E5 enthalten. Wer noch kein Abonnement hat, k\u00f6nnte eine Security E5-Testversion bei Microsoft anfordern, um diese neue Funktion auszuprobieren. Die Kollegen von Bleeping Computer haben hier einen Artikel<\/a> zum Thema ver\u00f6ffentlicht.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Patchday: Windows 10-Updates (8. Juni 2021)<\/a>
\nPoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a>
\nWindows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS best\u00e4tigt; CISA warnt<\/a>
\n0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
\nNotfall-Update schlie\u00dft PrintNightmare-Schwachstelle in Windows (6. Juli 2021)<\/a>
\nPrintNightmare-Notfall-Update auch f\u00fcr Windows Server 2012 und 2016 (7. Juli 2021)<\/a>
\nNachlese: Das Chaos-PrintNightmare-Notfall-Update (6.\/7.Juli 2021)<\/a>
\nWindows 10: Microsoft fixt Zebra-\/Dymo-Druckproblem KB5004945 per KIR<\/a>
\nMicrosoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher<\/a>
\nPatchday: Windows 10-Updates (13. Juli 2021)<\/a>
\nPatchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (13. Juli 2021)<\/a>
\nPatchday: Windows 8.1\/Server 2012-Updates (13. Juli 2021)<\/a>
\nWindows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Microsoft Defender for Identity (fr\u00fcher Azure Advanced Threat Protection oder Azure ATP) hat von Microsoft die F\u00e4higkeit bekommen, Angriffe \u00fcber die PrintNightmare-Schwachstelle zu erkennen und abzuwehren. Das betrifft vor allen die Ausnutzung von Schwachstellen im Windows-Druckspooler-Dienst (einschlie\u00dflich des aktiv … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,301],"tags":[4328,4313,3288],"class_list":["post-255760","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows","tag-sicherheit","tag-virenschutz","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255760","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255760"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255760\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255760"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255760"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255760"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}