News PrintNightmare: Warnung vor Sicherheitslücke in Windows 7 bis 10 und Server

[Jan]

Microsoft warnt vor einer Sicherheitslücke im Windows Print Spooler, die es Angreifern erlaubt, aus der Ferne beliebigen Code auf dem System auszuführen. Bis die Lücke geschlossen wird, sollte der Drucker-Dienst am besten deaktiviert werden. Alle Versionen von Windows seit Windows 7 und Windows Server 2008 sind betroffen.

Zur News: PrintNightmare: Warnung vor Sicherheitslücke in Windows 7 bis 10 und Server

 

[Yesman9277]

Heute morgen noch einen Workaround für gefunden:

https://blog.truesec.com/2021/06/30...rvers-running-while-a-patch-is-not-available/

 

[DFFVB]

Ein Glück braucht W11 TPM, damit kann sowas nicht passieren ^^

 

[camlo]

Nach dem nächsten Windowsupdate ist dann drucken wieder gar nicht möglich

Heute morgen noch einen Workaround für gefunden:

Kilngt prima: "preventing the SYSTEM account to modify its contents."
Erklär das mal einem Linuxuser!

 

[Neodar]

Das ist umso ärgerlicher, als dass man die Druckersoftware diverser Gerätehersteller mittlerweile oftmals nur noch nutzen kann, wenn man sich vorher einen Account bei denen einrichtet.
Völlig unnötiger Quatsch, aber sie verlangen es einfach.

 

[Yuuji]

Man muss in "Group Policy" Remonte Printing abschalten, das sollte reichen(Option 2).

 

[Discovery_1]

Ich habe jetzt die Druckerwarteschlange aus dem Systemstart herausgenommen, reicht das?

 

[scz]

Krass, angeblich waren die spooler Sicherheitslücken schon beim auftauchen von Stuxnet uralt. Ich dachte danach würden sie sicher 10mal überprüft

 

[Simanova]

Der Artikel erklärt leider nicht, ob man anfällig ist, wenn man eine Hardware-Firewall hat.

Ist das ein Exploit auf lokaler Ebene oder kann das remote übers Internet ausgeführt werden?

 

[iWaver]

Windows 12 hat dann als Systemvoraussetzung die Abwesenheit jeglicher Drucker.

 

[BrollyLSSJ]

Danke für die Info. Habe ich gleich mal an meine Kollegen vom Patch Management und an die AD Kollegen weiter geleitet.

 

[fdsonne]

Heute morgen noch einen Workaround für gefunden:

https://blog.truesec.com/2021/06/30...rvers-running-while-a-patch-is-not-available/

Würde ich nicht drauf vertrauen...

Denn das was die da machen, ergibt unter zweierlei Hinsicht nur bedingt Sinn. A) SYSTEM ist Besitzer des drivers Unterordner - als Besitzer kannst du dir selbst das Recht wieder geben. Inwiefern das ausnutzbar ist oder nicht, müsste mal also gezielt prüfen.
B) sie schreiben, das hilft gegen CVE-2021-1675. -> darum gehts aber gar nicht in der Security Meldung von MS. In der Security Meldung von MS geht es um CVE-2021-34527.
Leider ist der PoC Code für die Meldung nach wenigen Stunden wieder entfernt worden auf Github, ich hab ihn nicht gesehen. Man müsste das also genau mal prüfen, ob das wegnehmen des Rechts "hilft" oder nicht. Ich würde ohne Infos nicht drauf vertrauen. Sogar die Seite von dir verlinkt sagt nicht, dass es hilft. Sie erwähnen halt nur die 1675:

"We have verified that the ACL prevents the successful execution of the following exploit implementations:
https://github.com/cube0x0/CVE-2021-1675 (both C# and Python impacket implementations)
https://github.com/afwu/PrintNightmare"

Ist das ein Exploit auf lokaler Ebene oder kann das remote übers Internet ausgeführt werden?

Das kann der Artikel ohne viele hätte, wenns und abers gar nicht benennen
Wenn du einen Printer hast bei dir, den du freigibst und das dann noch im Internet (per IPv6 bspw. oder per NAT von public) - oder von Dritten Geräten die dir nicht gehören oder im öffentlichen WLAN oder oder oder, dann ja, dann betrifft dich das auch.
Normal hast du aber eine Windows FW aktiv - die sollte das im Falle von externen Netzwerken blocken, wenn nicht falsch konfiguriert. Und ebenso hat man normal Berechtigungen auf den Freigaben und nicht everyone mit Zugriff. Das hindert ebenso nach meinem Stand die Ausnutzbarkeit.

Solltest du also absichern können, dass von extern keiner ran kommt, weil entweder die FW vor dem PC alles wegblockt oder du im öffentlichen WLAN/LTE/5G Netz per Software Verbindungen blockst, dann ist das zumindest in der Form safe...
Vom Fehler selbst bist du aber dennoch betroffen und ein authentifizierter Account würde im Falle des Falles in deinem lokalen Netzwerk in der Lage sein, dir Schadcode unter zu schieben.

Wer keine Drucker breit stellt im Netz kann auch die GPO aktivieren. Wer gar nicht druckt, knipst bis zu nem Fix einfach den Spooler Dienst weg - und ist auch abgesichert. Ggf. auch einfach manuell verbinden. Unterwegs braucht es für gewöhnlich selten bis nie einen Printer Spooler Also aus den Käse wenn man unterwegs ist - und Zuhause halt dann aktivieren wenn man drucken will.

 

[PietVanOwl]

Hmm, da mein Drucker zur Zeit eh nicht genutzt wird, deaktiviere ich lieber mal den Dienst. Mal schauen wie lange es dauert bis Microsoft ein Update dafür parat hat. MFG Piet

 

[t0x]

Für Privatanwender völlig irrelevant.
Die Sicherheitslücke ermöglich eine Rechteerhöhung bis zum Domänenadministrator und daraus folgend wurmartige Verbreitung in Windows-Domänen. Dass man keinen Printserver ins Internet stellt setze ich mal als selbstverständlich voraus. Dann braucht es zusätzlich noch ein Einfallstor für die Malware z.b. infizierter Mailanhang. Wer kein Systemadministrator einer Windows-Domäne ist muss sich also deswegen keine Sorgen machen.
Admins hingegen schon, da ein einziger User ohne Adminrechte, der eine Malware startet oder bösartrig handelt das gesamte Netzwerk lahmlegen kann.
Allen Admins die eine schnelle Lösung suchen würde ich die GPO Methode nahelegen, weil sie die schnellste Möglichkeit ist und sich auch sobald der Patch verfügbar ist leicht wieder rückgängig machen lässt. Drucken über Printserver fällt natürlich flach bis dahin.

 

[andr_gin]

Hat es nicht ursprünglich geheißen, dass die Lücke nur Domänencontroller betrifft?

 

[M-X]

Der wichtige Punkte ist folgender:

An attack must involve an authenticated user calling RpcAddPrinterDriverEx().

Das heißt diese Attacke kann nur von einem User genutzt werden der sich schon auf irgend eine Art und weise authentifiziert hat. Trotzdem kritisch und sollte möglichst schnell behoben werde da gerade im Businessumfeld sehr relevant.

 

[t0x]

@andr_gin
Prinzipiell hat jeder Windows Rechner die Lücke. Eine wurmartige Verbreitung ist aber wohl nur über Domänencontroller möglich. Deswegen hat die Ausnützung dieser Lücke auf einem "normalen PC" keine Vorteile im Gegensatz zu anderer Malware die man anklickt und die diese Lücke nicht nutzt.

@M-X
Ein User in einer Windows Domäne, der einen Mailanhang ausführt, ist gegenüber der Domäne authentifiziert.

 

[leipziger1979]

Und wie kann die Lücke ausgenutzt werden?
Das wäre mal interessant.

Vermutlich muss der Anwender sich erstmal aktiv irgendwas einfangen per eMail-Anhang, oder?
Schön wie sowas immer verschwiegen wird, und das hasse ich bei solchen Panik-Machen Artikeln.

Demnach hat auch jedes Haustürschloss eine Sicherheitslücke.
Man muss nur oft genug mit dem Hammer draufhauen, irgendwann geht sie auf.

 

[M-X]

@t0x

Genau das schreibe ich doch ? Ist aber daheim halt kaum relevant wenn du kein Exchange oder AD betreibst, deshalb mein Statement zur Relevanz im Business Umfeld.

leipziger1979​

Ja natürlich muss jemand diese Lücke aktiv ausnutzen, du umgehst aber die Sicherheitsmechanismen des OS weil du auf einmal Sachen mit vollen Systemrechten ausführen kannst anstatt nur den Drucker Service zu nutzen wie vorgesehen. Dein Vergleich mit dem Hammer wäre schon eher Brutforce auf das Password des Admins. Es ist also durchaus keine Panikmache.

 

[SSD960]

tolle Idee den Spooler abzuschalten 😟