Der Sicherheitsforscher Benjamin Delpy demonstriert eine neue Methode, wie Angreifer Windows über eine Schwachstelle in der Druckerverwaltung attackieren könnten. Bislang gibt es noch keinen Patch, Systeme lassen sich nur über Workarounds schützen. Erst am Patchday im August hat Microsoft erneut Sicherheitsupdates veröffentlicht, um Drucker-Lücken zu schließen. Die PrintNightmare-Lücken beschäftigen Microsoft seit Anfang Juli. Durch die Installation eines präparierten Treibers könnten sich Angreifer mit System-Rechten ausstatten. Kurz nach dem Patchday hat Microsoft nun Infos zu einer weiteren Schwachstelle (CVE-2021-36958, „hoch“) veröffentlicht. Durch das erfolgreiche Ausnutzen der Lücke könnten sich lokale Angreifer abermals System-Rechte verschaffen. In dieser gefährlichen Position könnten sie etwa eigene Programme installieren oder neue Accounts anlegen. In solchen Fällen gelten Systeme in der Regel als vollständig kompromittiert. Welche Windows-Systeme konkret betroffen sind, ist noch nicht bekannt. Von früheren PrintNightmare-Lücken waren alle Windows-Ausgaben inklusive Windows Server bedroht. Mit dem letzten Sicherheitspatch führte Microsoft ein, dass nur noch Admins Drucker-Treiber installieren können, umso die Angriffsfläche zu verkleinern. Delpy fand aber heraus, dass sich dieser Schutz vergleichsweise einfach umgehen lässt. Wenn der Treiber bereits installiert ist, benötigt man keine Admin-Rechte, um sich mit einem Drucker zu verbinden. In diesem Fall konnte er über die CopyFile-Direktive eine präparierte DLL-Datei auf Computer kopieren und ausführen, um so eine Kommandozeile mit System-Rechten zu öffnen. Dafür muss sich ein Opfer lediglich mit einem Drucker verbinden. Einen Sicherheitspatch hat Microsoft bislang nur angekündigt. Wann er erscheinen soll, ist noch unklar. Microsoft verweist auf den monatlichen Patchday – wenngleich dieser erst vor wenigen Tagen stattgefunden hat. Im schlimmsten Fall müssen Admins knapp einen Monat warten. Die erste PrintNightmare-Lücke wurde durch einen außerplanmäßigen Notfallpatch geschlossen. Bis dahin müssen Admins Systeme abermals dadurch absichern, dass sie den Print-Spooler-Service deaktivieren. Im Anschluss kann man jedoch nicht mehr lokal oder über das Netzwerk drucken.
Get-Service -Name Spooler
Wenn der Service läuft, deaktivieren Sie ihn mit den Befehlen:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled