{"id":255802,"date":"2021-07-19T14:42:48","date_gmt":"2021-07-19T12:42:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255802"},"modified":"2021-08-02T17:14:36","modified_gmt":"2021-08-02T15:14:36","slug":"printnightmare-point-and-print-erlaubt-die-installation-beliebiger-dateien","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/19\/printnightmare-point-and-print-erlaubt-die-installation-beliebiger-dateien\/","title":{"rendered":"PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Bez\u00fcglich der urspr\u00fcnglich als PrintNightmare bezeichneten Problem, dass Windows-Systeme \u00fcber den Print-Spooler-Dienst angreifbar sind, gibt es eine neue Warnung. Ein Remote Print-Server, der von Unbefugten erreichbar ist, erm\u00f6glicht \u00fcber Point-and-Print beliebige Schaddateien auf den Clients zu installieren. Das US-CERT hat eine neue Warnung dazu herausgegeben. Es gibt aber die M\u00f6glichkeit, diese Schwachstelle \u00fcber Gruppenrichtlinien zu entsch\u00e4rfen.<\/p>\n

<\/p>\n

\"\"\u00dcber die PrintNightmare-Schwachstelle hatte ich ja einige Artikel hier im Blog, siehe Linkliste am Artikelende. Microsoft hat Updates zum Schlie\u00dfen der Schwachstellen herausgebracht – Sicherheitsforscher haben aber binnen Stunden neue Angriffsm\u00f6glichkeiten entdeckt, die die Patches umgehen. Bisher dachte ich immer, dass ein Angreifer zumindest einen signierten Druckertreiber bereitstellen muss, um die PrintNightmare-Schwachstelle auszunutzen. Nun kristallisiert sich heraus, dass im Beifang zu einem signierten WHQL-Treiber beliebige Dateien auf Clients \u00fcbermittelt werden k\u00f6nnen.<\/p>\n

Neuer Angriffsvektor Print-Server<\/h2>\n

Ich hatte im Beitrag Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)<\/a> darauf hingewiesen, dass Benjamin Delpy inzwischen mehrere Varianten der Angriffsm\u00f6glichkeiten auf die Druckerschnittstelle ver\u00f6ffentlicht hat, mich aber nicht weiter darum gek\u00fcmmert. Erst \u00fcber den Beitrag<\/a> der Kollegen von Bleeping Computer wurde ich erneut auf das Thema aufmerksam.<\/p>\n

\"PrintNightmare<\/a><\/p>\n

In obigem Tweet<\/a> weist Benjamin Delpy auf einen neuen Angriffsvektor \u00fcber eine weitere Schwachstelle im Windows Print Spooler-Dienst hin. \u00dcber diese k\u00f6nnten Dritte einen Remote-Server verwenden, um \u00fcber die Funktion \"Queue-Specific Files\" administrative Rechte auf einem Windows-Rechner zu erlangen.<\/p>\n

Delpy hat einen \u00f6ffentlich zug\u00e4nglichen Remote-Print-Server erstellt (siehe diesen Tweet<\/a>), der zum Testen der oben demonstrierten Sicherheitsl\u00fccke verwendet werden kann. Druckt ein Windows-Client \u00fcber den Print-Server, wird ein fehlender Druckertreiber per Point-and-Print installiert. Zur Installation wird zwar ein signierter Druckertreiber ben\u00f6tigt. Gegen\u00fcber Bleeping Computer hat Delpy aber ein spezielles Installing Queue-Specific Files<\/a> Point-and-Print-Feature erw\u00e4hnt.<\/p>\n

Bei der Druckerinstallation kann eine vom Hersteller bereitgestellte Installationsanwendung eine Reihe von Dateien beliebigen Typs angeben, die mit einer bestimmten Druckwarteschlange verbunden werden sollen. Die Dateien werden auf jeden Client heruntergeladen, der eine Verbindung mit dem Druckserver herstellt. Wird dort eine sch\u00e4dliche DLL mit verteilt, k\u00f6nnte ein Angreifer \u00fcber diese dann SYSTEM-Berechtigungen auf dem Windows-Client erlangen. Will Dormann hat inzwischen diese US-CERT Warnung<\/a>\u00a0 mit einigen Erl\u00e4uterungen zum Sachverhalt ver\u00f6ffentlicht.<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen hat Delpy seinen Ansatz so erweitert, dass der Remote-Print-Server einen Systembefehl ausf\u00fchrt und dem Benutzer Administratorberechtigungen zugesteht. Die Kollegen von Bleeping Computer haben das Ende Juli 2021 in diesem Artikel<\/a> erneut aufbereitet.<\/p><\/blockquote>\n

Vorgeschlagene Gegenma\u00dfnahmen<\/h2>\n

In der US-CERT Warnung<\/a> zeigt Will Dormann aber gleich zwei Ans\u00e4tze auf, um die Ausnutzung dieser Schwachstelle durch Angreifer zu erschweren.<\/p>\n

SMB-Verkehr an der Netzwerkgrenze blockieren<\/h3>\n

Da Angreifer f\u00fcr ihre Exploits SMB f\u00fcr die Verbindung zu einem b\u00f6sartigen freigegebenen Drucker nutzen, l\u00e4sst sich die Schwachstelle sehr einfach entsch\u00e4rfen. Es gilt einfach die ausgehenden SMB-Zugriffe an der Grenze des eigenen Netzwerks zu blockieren. Dann kann der Remote Print-Server nicht mehr erreicht werden, auch wenn ein Angreifer m\u00f6glicherweise lokal versucht, den Drucker anzusprechen. Zu beachten ist aber, Drucker \u00fcber das [MS-WPRN] Web Point-and-Print-Protokoll freigegeben werden k\u00f6nnen. Das erm\u00f6glicht die Installation beliebiger Druckertreiber, ohne auf SMB-Datenverkehr angewiesen zu sein. Au\u00dferdem k\u00f6nnte ein Angreifer, der sich lokal im Netzwerk befindet, einen Drucker \u00fcber SMB freigeben, der nicht von den Regeln f\u00fcr ausgehenden SMB-Verkehr betroffen w\u00e4re.<\/p>\n

Konfigurieren der PackagePointAndPrintServerList<\/h3>\n

In Microsoft Windows gibt es eine Gruppenrichtlinie namens \"Package Point and Print – Approved servers\", die Eintr\u00e4ge in den Registrierungswerten:<\/p>\n

HKLM\\Software\\Policies\\Microsoft\\Windows NT\\Printers\\PackagePointAndPrint\\PackagePointAndPrintServerList<\/pre>\n
und<\/p>\n
HKLM\\Software\\Policies\\Microsoft\\Windows NT\\Printers\\PackagePointAndPrint\\ListofServers<\/pre>\n
verwenden. \u00dcber diese Richtlinie kann ein Administrator einschr\u00e4nken, welche Server von nicht-administrativen Benutzern verwendet werden d\u00fcrfen, um Drucker \u00fcber Point and Print zu installieren. Die Empfehlung lautet, diese Richtlinie zu konfigurieren, um die Installation von Druckern \u00fcber beliebige Server zu verhindern.<\/p>\n
\u00c4hnliche Artikel:
\n<\/strong>Patchday: Windows 10-Updates (8. Juni 2021)<\/a>
\nPoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a>
\nWindows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS best\u00e4tigt; CISA warnt<\/a>
\n0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
\nNotfall-Update schlie\u00dft PrintNightmare-Schwachstelle in Windows (6. Juli 2021)<\/a>
\nPrintNightmare-Notfall-Update auch f\u00fcr Windows Server 2012 und 2016 (7. Juli 2021)<\/a>
\nNachlese: Das Chaos-PrintNightmare-Notfall-Update (6.\/7.Juli 2021)<\/a>
\nWindows 10: Microsoft fixt Zebra-\/Dymo-Druckproblem KB5004945 per KIR<\/a>
\nMicrosoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher<\/a>
\nPatchday: Windows 10-Updates (13. Juli 2021)<\/a>
\nPatchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (13. Juli 2021)<\/a>
\nPatchday: Windows 8.1\/Server 2012-Updates (13. Juli 2021)<\/a>
\nWindows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)<\/a>
\nMicrosoft Defender for Identity kann PrintNightmare-Angriffe erkennen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Bez\u00fcglich der urspr\u00fcnglich als PrintNightmare bezeichneten Problem, dass Windows-Systeme \u00fcber den Print-Spooler-Dienst angreifbar sind, gibt es eine neue Warnung. Ein Remote Print-Server, der von Unbefugten erreichbar ist, erm\u00f6glicht \u00fcber Point-and-Print beliebige Schaddateien auf den Clients zu installieren. Das US-CERT hat … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-255802","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255802","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255802"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255802\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255802"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255802"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255802"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}