Heute werden wir über die neueste PrintNightmare-Krise für Windows-Benutzer sprechen und einige Empfehlungen zum Schutz Ihres PCs geben. Es handelt sich um eine kritische Schwachstelle in der Windows-Druckerwarteschlange. Die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) hat dazu eine Stellungnahme abgegeben, und seitdem spricht jeder von etwas anderem. Heute diskutieren wir dieses Thema von A bis Z.
PrintNightmare: Wie es angefangen hat?
Anfang Juni, am 8. Juni, veröffentlichte Microsoft CVE-2021-1675 mit dem Titel „Windows Print Spooler Remote Code Execution Vulnerability“. Zu diesem Zeitpunkt schien es sich um eine geringfügige Bedrohung zu handeln, die vor ihrer Ausnutzung identifiziert worden war und leicht behoben werden konnte. Daher gab es keinen Grund zur Sorge.
Dann begannen die größten Sicherheitsbehörden der Welt, Erklärungen herauszugeben, die vor einem größeren Update von CVE-2021-1675 warnten. Diese Nachrichten forderten Benutzer und Organisationen auf, sofort Maßnahmen zu ergreifen, um sich vor dieser Bedrohung zu schützen. Im gleichen Zeitraum veröffentlichte Microsoft die Schwachstelle CVE-2021-34527, die den Spitznamen PrintNightmare trägt.
Microsoft hat CVE-2021-34527 der Sicherheitsanfälligkeit bezüglich Remotecodeausführung zugeordnet, die den Windows-Druckspooler betrifft. Holen Sie sich hier weitere Informationen: https://t.co/OarPvNCX7O
— Microsoft Security Intelligence (@MsftSecIntel) 2. Juli 2021
Im Gegensatz zu CVE-2021-1675, das eine hohe Risikobewertung erhielt, erhielt PrintNightmare von Anfang an die Bewertung als kritische Schwachstelle, da es Remotecodeausführung ermöglicht. Seitdem gab es mehrere Updates und Microsoft arbeitet rund um die Uhr an diesem Problem. In der Zwischenzeit konnten wir, während wir auf eine endgültige Lösung warten, auch einige Empfehlungen zur Minderung der Risiken finden.
Was ist PrintNightmare?
Das Problem liegt in einer Funktion der Windows-Druckerwarteschlange, speziell in RpAddPrinterDriverEx(), die, wie der Name schon sagt, die Installation eines neuen Druckers auf dem System ermöglicht. Obwohl der Druckmanager den Zugriff darauf nicht beschränkt, kann er von jedem authentifizierten Benutzer aus der Ferne verwendet werden.
Was ist also das Problem, wenn ein Benutzer einen Drucker aus der Ferne installieren kann, und was macht PrintNightmare so gefährlich? Wenn wir über die Installation eines Druckers sprechen, beziehen wir uns auf seinen Treiber. Wenn jemand einen Treiber ohne Autorität installieren kann, kann er viele schädliche Elemente enthalten. So kann ein Angreifer, der sich Zugang zu einem System verschafft und mit RpAddPrinterDriverEx() bösartigen Code ausführt, Berechtigungen ausweiten, Nutzlasten an das kompromittierte System senden und sogar die vollständige Kontrolle über einen PC übernehmen.
Der Druckmanager ist eine Komponente, die in allen Windows-Versionen vorhanden ist, daher weist Microsoft darauf hin, dass jede Installation seines Betriebssystems anfällig für Angriffe mit PrintNightmare ist. Unabhängig von Ihrer Windows-Version ist Ihr System daher grundsätzlich PrintNightmare ausgesetzt und Sie sollten daher Maßnahmen zu Ihrem eigenen Schutz ergreifen.
Wie schützt man sich vor PrintNightmare?
Es gibt bereits einen Microsoft-Patch, um PrintNightmare zu reparieren, aber die Wahrheit ist, dass er nicht effektiv ist.
Aber bevor wir darauf eingehen, sollten wir uns an das erinnern, was wir eingangs erwähnt haben, und zwischen CVE-2021-1675 und CVE-2021-34527 unterscheiden. Für ersteres hat Microsoft bereits Fixes veröffentlicht, die die spezifischen Risiken dieser Sicherheitsanfälligkeit mindern. Diese Patches beheben jedoch nicht das mit CVE-2021-34527 verbundene Problem.
Andererseits hat Microsoft erst gestern Patches für PrintNightmare für verschiedene Windows-Versionen veröffentlicht, darunter auch einige, die offiziell nicht mehr unterstützt werden:
- KB5004945: Windows 10 20H1, 20H2 und 21H.
- KB5004946: Windows 10 Version 1909
- KB5004947: Windows 10 Version 1809 und Windows Server 2019
- KB5004949: Windows 10 Version 1803
- KB5004950: Windows 10 Version 1507
- KB5004951: Windows 7 SP1 und Windows Server 2008 R2 SP1
- KB5004958: Windows 8.1 und Windows Server 2012
- KB5004959: Windows Server 2008 SP2
Die schlechten Nachrichten kamen nach diesen Veröffentlichungen, einige Benutzer behaupten, dass der offizielle Patch unvollständig ist und keine Auswirkungen hat.
0Patch hatte einen inoffiziellen Patch veröffentlicht, der sich gegen PrintNightmare als wirksam erwiesen hatte, aber die Anwendung des offiziellen Microsoft-Patches mildert die Auswirkungen des von 0patch entwickelten Patches ab, sodass das System erneut anfällig für einen Angriff aufgrund dieses Sicherheitsproblems ist:
Wenn Sie 0patch gegen PrintNightmare verwenden, wenden Sie das Windows Update vom 6. Juli NICHT an! Es behebt nicht nur nicht den lokalen Angriffsvektor, sondern auch nicht den entfernten Vektor. Es ändert jedoch localspl.dll, wodurch unsere Patches, die das Problem beheben, nicht mehr angewendet werden. https://t.co/osoaxDVCoB
— 0patch (@0patch) 7. Juli 2021
Microsoft hat erklärt, an dem Problem zu arbeiten, aber inzwischen wird empfohlen, das automatische Update von Windows nicht zuzulassen, wenn der Patch von 0patch verwendet wird, da der Schutz, den der Patch bietet, bereits ausreichend ist. Eine andere Möglichkeit besteht darin, die Druckdienste, die Sie nicht benötigen, auf jedem System zu deaktivieren. Auf Servern, sofern es sich nicht um Druckserver handelt, sollten diese Dienste beispielsweise aus Sicherheitsgründen deaktiviert sein. Und was die Endpunkte angeht, reduzieren Sie genauso die aktiven Dienste im Zusammenhang mit dem Drucken auf ein Minimum, insbesondere wenn es sich um Systeme handelt, von denen Sie nie drucken.
Um den aktuellen Status des Druckwarteschlangendienstes zu überprüfen, müssen wir eine PowerShell-Konsole öffnen und Get-Service -Name Spooler in die Befehlszeile eingeben. Als Ergebnis erhalten wir den aktuellen Stand davon. Falls der Dienst deaktiviert oder deaktiviert angezeigt wird, müssen wir uns keine Sorgen machen, da die PrintNightmare-Tür auf diesem System geschlossen bleibt. Falls der Dienst aktiv ist, gibt es zwei Möglichkeiten, solange es sich nicht um einen Druckserver handelt. In diesem Fall können diese Maßnahmen nicht angewendet werden, da der Dienst nicht mehr funktioniert.
Der erste ist zweifellos der drastischste, und wir können ihn nur verwenden, wenn wir niemals von diesem System drucken. In derselben Powershell-Konsole, die wir verwenden, um den Status des Dienstes zu überprüfen, müssen wir die folgenden Befehle eingeben:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Der erste stoppt sofort den Windows-Druckdienst, während der zweite seine Konfiguration ändert, damit er nach dem Neustart des Systems nicht erneut geladen wird. Wenn Microsoft einen Patch veröffentlicht, der PrintNightmare endgültig behebt, können Sie ihn mit diesem Befehl reaktivieren;
Set-Service -Name Spooler -StartupType aktiviert
Auf diese Weise können Sie nach dem Neustart des Systems wieder normal von diesem System drucken.
Die zweite Methode besteht darin, nur die Druckserverfunktion des Systems zu deaktivieren. Auf diese Weise können Sie weiterhin vom System aus drucken, es verfügt jedoch nicht mehr über die Druckserverfunktion für andere Computer und Geräte im Netzwerk. Dazu müssen Sie auf den Editor für lokale Gruppenrichtlinien zugreifen und zu Lokale Computerrichtlinie > Computerkonfiguration > Administrative Vorlagen > Drucker navigieren und nach dem Eintrag Druckauftragsmanager erlauben, Clientverbindungen zu akzeptieren.
Doppelklicken Sie dann darauf und überprüfen Sie seinen Status, der deaktiviert sein sollte, um PrintNightmare-Risiken zu vermeiden. Wenn es also auf Nicht konfiguriert oder aktiviert ist, ändern Sie diesen Wert und starten Sie das System neu.
Was ist, wenn Sie den Microsoft-Patch für PrintNightmare bereits installiert haben?
Es ist möglich, dass Sie den offiziellen Microsoft-Patch bereits installiert haben, wenn Sie dies lesen. Das Problem ist, dass es das PrintNightmare-Problem nicht löst. In einem solchen Fall müssen Sie die Windows-Registrierungseinstellungen ändern. Dies geht am schnellsten, indem Sie eine Konsole (Eingabeaufforderung) öffnen und den folgenden Befehl eingeben:
„HKEY_LOCAL_MACHINE Software Policies Microsoft Windows NT Printers PointAndPrint“ / v RestrictDriverInstallationToAdministrators / t REG_DWORD / d 1 / f
Geben Sie es genau wie gezeigt ein, Sie können es kopieren und einfügen. Beachten Sie, dass es sich zwar um einen einzelnen Befehl handelt, obwohl er aufgrund seiner Länge geteilt ist.
Grundsätzlich sollten diese Maßnahmen bereits für die nötige Sicherheit sorgen, allerdings müssen wir noch warten, bis Microsoft eine endgültige Lösung veröffentlicht.
