{"id":256621,"date":"2021-08-12T10:39:21","date_gmt":"2021-08-12T08:39:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256621"},"modified":"2023-06-09T21:28:07","modified_gmt":"2023-06-09T19:28:07","slug":"windows-printnightmare-neue-runde-mit-cve-2021-36958","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/12\/windows-printnightmare-neue-runde-mit-cve-2021-36958\/","title":{"rendered":"Windows PrintNightmare, neue Runde mit CVE-2021-36958"},"content":{"rendered":"

\"Windows\"[English<\/a>]Noch ein kleiner Nachtrag vom August 2021-Patchday in Bezug auf die Print-Spooler-Dienst-Schwachstelle PrintNightmare. Microsoft hat zwar einen Patch herausgebracht, der die Schwachstelle beseitigen soll. Aber ich hatte bereits in meinen Blog-Beitr\u00e4gen zum Patchday darauf hingewiesen, dass dieser Patch nicht ausreicht. Nun hat Microsoft zum 11.8.2021 eine neue CVE-2021-36958 (Windows Print Spooler Remote Code Execution Vulnerability) festgelegt.<\/p>\n

<\/p>\n

Die Windows PrintNightmare-Schwachstelle<\/h2>\n

\"\"Seit Juli 2021 ist eine Schwachstelle im WindowsPrint-Spooler-Dienst bekannt, die eine Remote Code Execution (RCE) sowie u.U. eine Rechteauswertung erm\u00f6glicht. Microsoft versucht seit Anfang Juli 2021 diese, inzwischen mit dem Namen PrintNightmare benannte, Schwachstelle durch Updates zu beseitigen (siehe Linkliste am Artikelende). Aber nach jedem Patch weisen Sicherheitsforscher nach, dass die PrintNightmare-Schwachstelle unvollst\u00e4ndig gepatcht wurde. Insbesondere die Point-and-Print genannte Funktion, \u00fcber die Nutzer Druckertreiber installieren k\u00f6nnen, l\u00e4sst sich f\u00fcr Angriffe missbrauchen.<\/p>\n

Updates f\u00fcr August 2021 helfen nicht<\/h2>\n

Zum 10. August 2021 hat Microsoft f\u00fcr die noch unterst\u00fctzten Windows-Versionen verschiedene Sicherheitsupdates ver\u00f6ffentlicht, in denen auch folgender Fix genannt wird:<\/p>\n

Changes the default privilege requirement for installing drivers when using Point and Print. After installing this update, you must have administrative privileges to install drivers. If you use Point and Print, see KB5005652<\/a>, Point and Print Default Behavior Change<\/a>, and CVE-2021-34481<\/a> for more information.<\/p><\/blockquote>\n

Zum 10. August 2021 gab es auch den MSRT Blog-Beitrag Point and Print Default Behavior Change<\/a> zum Thema sowie einen Support-Beitrag KB5005652<\/a> zu Point-and-Print, mit Hilfestellungen f\u00fcr Administratoren. Bereits in den nachfolgend verlinkten Blog-Beitr\u00e4gen hatte ich aber darauf hingewiesen, dass die Point-and-Print-Schwachstelle vermutlich nicht vollst\u00e4ndig gefixt ist.<\/p>\n

Patchday: Windows 10-Updates (10. August 2021)<\/a>
\nPatchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (10. August 2021)<\/a>
\nPatchday: Windows 8.1\/Server 2012-Updates (10. August 2021)<\/a><\/p>\n

Zweifel von Sicherheitsforschern<\/h2>\n

Denn Sicherheitsforscher Benjamin Delpy wies bereits in nachfolgendem Tweet<\/a> darauf hin, dass er seinen Exploit in einer virtuellen Maschine mit einer auf dem aktuellen Patchstand befindlichen Windows 365-Installation mit Standard-Nutzerrechten ausf\u00fchren kann.<\/p>\n

\"PrintNightmare<\/a><\/p>\n

Von seinem \u00f6ffentlichen Netzwerk-Drucker werden dann Dateien nachgeladen. Die einzige Ma\u00dfnahme, die er durchf\u00fchren musste, bestand in der Deaktivierung des Defender (dieser kann einen Angriff \u00fcber diese Schwachstelle erkennen).<\/p>\n

\"PrintNightmare<\/a><\/p>\n

Sicherheitsforscher Will Dormann schreibt in obigem Tweet<\/a>, dass er nun Administrator-Berechtigungen f\u00fcr seinen Proof-of-Concept (PoC) f\u00fcr die Schwachstelle CVE-2021-36936 ben\u00f6tigt. Er verweist dann auf den Tweet von Delpy, der in der Lage war, von einem Standard-Konto SYSTEM-Rechte zu erlangen.<\/p>\n

Blog-Leser Jonas beschreibt hier<\/a> in einem Kommentar zu meinem Beitrag, dass die Installation neuer Treiber oder zum aktualisieren eines Drucker-Treibers Administrator-Berechtigungen ben\u00f6tigt.<\/p>\n

Standardm\u00e4\u00dfig k\u00f6nnen Benutzer ohne Administratorberechtigungen die folgenden Schritte mit Punkt und Drucken nicht mehr ausf\u00fchren:<\/p>\n

-Installieren neuer Drucker mithilfe von Treibern auf einem Remotecomputer oder Server<\/p>\n

\u2013 Aktualisieren vorhandener Druckertreiber mit Treibern von Remotecomputer oder Server<\/p><\/blockquote>\n

Als Quelle ist der Support-Beitrag KB5005652<\/a> zu Point-and-Print genannt. Das f\u00fchrt zu einer Diskussion hier im Blog, wo Blog-Leser wie Zanza<\/a>\u00a0 eigene Erfahrungen berichten. Er schreibt, dass er sich vom Printserver auch mit neuen Druckern verbinden k\u00f6nne, wenn der betroffene Treiber bereits lokal vorhanden ist. Auf Twitter habe ich eine Meldung<\/a> gelesen, dass ggf. Dateien vom Remote Print-Server nachgeladen w\u00fcrden. Ich kann hier nichts testen, aber insgesamt ist es wohl eine ziemlich unbefriedigende Situation.<\/p>\n

Erg\u00e4nzung<\/strong>: Kevin Beaumont hat auf GitHub<\/a> die Datei SystemNightmare.bat ver\u00f6ffentlicht. Damit bekommt ein Standardnutzer sofort SYSTEM-Privilegien auf allen supporteten Windows Systemen, solange die Schwachstelle offen ist.<\/p>\n

\"PrintNightmare<\/a><\/p>\n

Erg\u00e4nzung 2:<\/strong> Benjamin Deply hat in obigem Tweet<\/a> seine GitHub-Seite<\/a> verlinkt. Dort gibt er Hinweise, wie dieser Angriffsvektor durch Registrierungseintr\u00e4ge etc. entsch\u00e4rft werden kann.<\/p>\n

Microsoft ver\u00f6ffentlicht CVE-2021-36958<\/h2>\n

Den Kollegen von deskmodder.de ist im Tweet<\/a> von Will Dormann aufgefallen<\/a>, dass Microsoft zum 11. August 2021 eine neue CVE-2021-36958<\/a> (Windows Print Spooler Remote Code Execution Vulnerability) ver\u00f6ffentlicht hat. Dort hei\u00dft es:<\/p>\n

A remote code execution vulnerability exists when the Windows Print Spooler service improperly performs privileged file operations. An attacker who successfully exploited this vulnerability could run arbitrary code with SYSTEM privileges. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.<\/p>\n

The workaround for this vulnerability is stopping and disabling the Print Spooler service.<\/p><\/blockquote>\n

Aktuell wird die Schwachstelle noch nicht ausgenutzt. Microsoft hat mal wieder den alten Workaround ausgegraben, und empfiehlt den Print-Spooler-Dienst zu stoppen und zu deaktivieren. PrintNightmare ist also noch nicht vorbei – und das in diesem Tweet<\/a> gezeigte animierte GIF bringt die Patch-Versuche von Microsoft auf den Punkt.<\/p>\n

\"Microsoft<\/a><\/p>\n

\u00c4hnliche Artikel<\/strong>
\nPoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a>
\nWindows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS best\u00e4tigt; CISA warnt<\/a>
\nNachlese: Das Chaos-PrintNightmare-Notfall-Update (6.\/7.Juli 2021)<\/a>
\nNotfall-Update schlie\u00dft PrintNightmare-Schwachstelle in Windows (6. Juli 2021)<\/a>
\nPrintNightmare-Notfall-Update auch f\u00fcr Windows Server 2012 und 2016 (7. Juli 2021)<\/a>
\nMicrosoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher<\/a>
\nWindows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)<\/a>
\nPrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien<\/a>
\nMicrosoft Defender for Identity kann PrintNightmare-Angriffe erkennen<\/a>
\n0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
\n0patch-Fix f\u00fcr neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)<\/a><\/p>\n

Ransomware-Gang nutzt PrintNightmare f\u00fcr Angriffe auf Windows Server<\/a>
\nVice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle f\u00fcr Angriffe<\/a>
\nMicrosoft macht bei PrintNightmare auf \"schlanker Fu\u00df\"<\/a><\/p>\n

Patchday: Windows 10-Updates (10. August 2021)<\/a>
\nPatchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (10. August 2021)<\/a>
\nPatchday: Windows 8.1\/Server 2012-Updates (10. August 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein kleiner Nachtrag vom August 2021-Patchday in Bezug auf die Print-Spooler-Dienst-Schwachstelle PrintNightmare. Microsoft hat zwar einen Patch herausgebracht, der die Schwachstelle beseitigen soll. Aber ich hatte bereits in meinen Blog-Beitr\u00e4gen zum Patchday darauf hingewiesen, dass dieser Patch nicht ausreicht. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[8273,4328,3288],"class_list":["post-256621","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-printnightmare","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256621","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256621"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256621\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256621"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256621"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256621"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}