News PrintNightmare: Warnung vor Sicherheitslücke in Windows 7 bis 10 und Server
- Ersteller Jan
- Erstellt am
- Zur News: PrintNightmare: Warnung vor Sicherheitslücke in Windows 7 bis 10 und Server
Also so wie ich das verstanden habe läuft das so ab:leipziger1979 schrieb:
.) Ein PC des Firmennetzwerks wird infiziert.
.) Dieser nutzt den Druckerfreigabedienst am Domänencontroller (so weit ich das verstanden habe muss kein Drucker freigegeben sein)
.) Durch die Lücke gelingt es, dass der lokale Systemaccount einen manipulierten Druckertreiber im Druckerteiberverzeichnis des DC ablegt und dieser im Kernel Mode geladen wird.
.) Dieser Treiber kann nun das gesamte Firmennetzwerk infizieren, da das System eines DC gleichzeitig Zugriff auf das gesamte Netzwerk hat.
Deswegen habe ich gestern auf meinem DC die Druckwarteschlange deaktiviert weil ja sowieso ja normalerweise nicht benötigt bzw. falls doch, kann man ja kurz einmal manuell den Dienst starten.
Meine Vermutung:
Wenn diese Lücke auch auf anderen Rechnern ausnutzbar ist (mit geändertem PoC), dann bedeutet das vermutlich, dass jeweils nur das lokale System infizierbar ist, weshalb man zumindest die Spooler bei allen weiteren Servern deaktivieren sollte. Auf den Clients wird das vermutlich kaum umsetzbar sein, weil die Leute müssen ja drucken. Da kann ich gleich komplett den Stecker ziehen.
Den Workaround mit dem Verweigern der Zugriffsrechte für den Systemaccount werde ich nicht machen. Das schafft womöglich eine Latte an neuen Problemen, da dann ja gar keine Druckertreiber mehr installiert werden können (viel Spaß das später als Ursache zu finden).
Was den Workaround mit der GPO angeht: Halte ich auch für etwas mutig das global für alle zu aktivieren. Da sollte man zuerst die Clients prüfen, ob da nicht doch ein paar Drucker freigegeben sind, die nur lokal über die Freigabe genutzt werden.
Willmehr
Lieutenant
- Registriert
- Juli 2008
- Beiträge
- 529
Moin,
ich kenne mich zwar mit Win 10 einigermaßen aus, bin aber leider Netzwerkmässig ein ziemlicher Noob.
Ich sitze hier in einem privaten Netzwerk mit einem Win 10 Rechner und einem per Lan angeschlossenem Canon Drucker (wird nur zum Drucken eingeschaltet) und dazu kommen ein Handy und Tablet, von Denen ich auch gelegentlich Drucke.
Nun zu meiner Frage: Könnte eventuell einer von euch Fachleuten mal eine Einschätzung der Gefahr dieses Exploits für Ottonormal User wie mich abgeben, oder besser noch, wie ich mich bis zu einem Patch bestmöglich absichern kann.
Ich habe bisher probiert unter Taskmanager -> Prozesse -> die Spoolersubsystem-Anwendung zu beenden, allerdings startet sich diese Anwendung sofort wieder neu.
Im Druckertreiber den Spooler deaktiviert -> reicht das schon ?
Vielen Dank im voraus falls jemand hier helfen kann.
P.S.: Könnte man den Drucker, falls nötig, nicht komplett aus dem Netzwerk entfernen und nach einem Fix wieder installieren ?
Ist natürlich nicht für jeden praktikabel, aber ich persönlich benötige den Drucker nur selten.
ich kenne mich zwar mit Win 10 einigermaßen aus, bin aber leider Netzwerkmässig ein ziemlicher Noob.
Ich sitze hier in einem privaten Netzwerk mit einem Win 10 Rechner und einem per Lan angeschlossenem Canon Drucker (wird nur zum Drucken eingeschaltet) und dazu kommen ein Handy und Tablet, von Denen ich auch gelegentlich Drucke.
Nun zu meiner Frage: Könnte eventuell einer von euch Fachleuten mal eine Einschätzung der Gefahr dieses Exploits für Ottonormal User wie mich abgeben, oder besser noch, wie ich mich bis zu einem Patch bestmöglich absichern kann.
Ich habe bisher probiert unter Taskmanager -> Prozesse -> die Spoolersubsystem-Anwendung zu beenden, allerdings startet sich diese Anwendung sofort wieder neu.
Im Druckertreiber den Spooler deaktiviert -> reicht das schon ?
Vielen Dank im voraus falls jemand hier helfen kann.
P.S.: Könnte man den Drucker, falls nötig, nicht komplett aus dem Netzwerk entfernen und nach einem Fix wieder installieren ?
Ist natürlich nicht für jeden praktikabel, aber ich persönlich benötige den Drucker nur selten.
Zuletzt bearbeitet:
maaco90
Lieutenant
- Registriert
- Feb. 2007
- Beiträge
- 776
Du bist erst 100% davor geschützt, wenn du in Dienste (services.msc) die Druckerwarteschlange auf deaktiviert stellst. Der Angriff installiert quasi einen vermeintlichen Drucker-Treiber auf einem System (dem selben oder einem Remote System) auf dem dieser Dienst läuft. Dieser vermeintliche Treiber enthält dann das, was der Angreifer erreichen will (z.B. die Erstellung eines Admin-Accounts, oder theoretisch auch Schadsoftware), welches mit SYSTEM-Rechten ausgeführt wird.Willmehr schrieb:
Die Einstellungen deiner bereits installierten Druckertreiber sind irrelevant.
Diesen Exploit kannst du aber schwer aus Versehen ausführen, außer du benutzt gerne ungeprüft Skripts aus dem Internet.
Ob ein böser Akteur IN DEINEM Netzwerk auf deinem Rechner (wenn der Dienst läuft) den Exploit ausführen kann, hängt so wie ich das verstehe von verschiedenen Sachen ab (Einstellungen in Druckerfreigaberegeln, Client-Firewall. Aus dem Internet sollte nichts kommen können, sofern du dein Modem/Router nicht total vermurxt eingestellt hast.
Willmehr
Lieutenant
- Registriert
- Juli 2008
- Beiträge
- 529
@maaco90
Vielen Dank für Deine verständliche Erklärung, allerdings wird bei mir unter Dienste "services.mcs" nicht angezeigt.
Ich bin jetzt aber trotzdem einigermaßen beruhigt, denn an meinem Router wurde nicht rumgemurxt und ich bin meistens auf denselben hoffentlich sicheren Websites unterwegs.
Vielen Dank für Deine verständliche Erklärung, allerdings wird bei mir unter Dienste "services.mcs" nicht angezeigt.
Ich bin jetzt aber trotzdem einigermaßen beruhigt, denn an meinem Router wurde nicht rumgemurxt und ich bin meistens auf denselben hoffentlich sicheren Websites unterwegs.
N
NotNerdNotDau
Gast
Eben, es geht um Remote-Printing.Yuuji schrieb:
Deshalb dürften von diesem Sicherheitsleck nur die wenigsten Privatnutzer betroffen sein.
- Registriert
- Juli 2013
- Beiträge
- 4
hi zusammen,
also um die Sorge aufgrund dieses Themas ein bisschen in die richtigen Bahnen zu lenken, hier mal noch ein "kurzer" Abriss aus meiner Sicht, was man tun kann/sollte (Vorsicht, Textwand
- und sicherlich nicht komplett bis ins kleinste Detail).
Ich mach einfach mal ein "Firma" und eine "Privat" Tag vor die jeweilige Aussage - um zu zeigen wo das relevant ist (wer privat DCs hat darf sich als Firma verstehen
).
also um die Sorge aufgrund dieses Themas ein bisschen in die richtigen Bahnen zu lenken, hier mal noch ein "kurzer" Abriss aus meiner Sicht, was man tun kann/sollte (Vorsicht, Textwand
- und sicherlich nicht komplett bis ins kleinste Detail).Ich mach einfach mal ein "Firma" und eine "Privat" Tag vor die jeweilige Aussage - um zu zeigen wo das relevant ist (wer privat DCs hat darf sich als Firma verstehen
).- RUHE BEWAHREN! Erst nachdenken, dann handeln
- [FIRMA] Prio 1: Domain Controller schützen! Es sollte problemlos möglich sein (siehe nächster Punkt), den Spooler-Dienst einfach zu stoppen und zu deaktivieren. Das kann für immer so bleiben!
- [FIRMA] Ist ein DC auch Druckserver (davon ist absolut abzuraten!!!), wäre meine persönliche erste Prio: ändern! Anderen Server nutzen.
- [FIRMA] Auf Druckservern kann man alternativ den Workaround konfigurieren, bei dem "Local System" die Berechtigung auf den Druckertreiber-Ordner entzogen wird. Ist Gebastel, kann aber temporär helfen. Bedeutet soweit ich das verstanden habe (bin kein Printserver-Profi!) erstmal nur, dass man keine neuen Treiber installieren kann, bis es ein passsendes Update gibt.
- [FIRMA] Den Spooler-Dienst sollte man generell auch auf allen anderen Servern stoppen und deaktivieren, die keine Druckserver sind. Vorsicht: Citrix / Terminalserver genau beachten! Da kann es auch ein Problem sein den Spooler zu beenden. Wenn das so ist, auch die Alternative implementieren.
- [FIRMA] Auf Clients wird es jetzt komplexer. Dienst deaktivieren ist nicht möglich - außer auf dem Client wird nie gedruckt. Was aber auf jeden Fall möglich ist:
- per GPO den Remotezugriff auf den Spooler deaktivieren. Ein Client sollte nie ein "Druckserver" sein, entsprechend sollte das problemlos möglich sein. Die Einstellung kann auch direkt in der Registry gesetzt werden, sollte man kein AD haben / GPO nicht nutzen.
- Wichtig zu wissen: standardmäßig erlaubt die Windows Firewall den Zugriff auf den Spooler von außen nicht (File and Printer Sharing)! Das gilt normal für das Private und Public Netzwerkprofil.
Hilft in einer Domäne aber nur bedingt, denn Angriffe kommen meist von innen - und im Domain Profil ist der Zugriff meist erlaubt (die Regel beinhaltet das Druckthema, deckt aber weit mehr ab).
- [PRIVAT] hier gilt eigentlich auch erstmal all das was für eine Firma gilt - sofern man Server etc. haben sollte.
Auf dem privaten PC kann man die für Clients genannten Schritte durchgehen / prüfen!- Die Windows Firewall (sofern genutzt) sollte gecheckt werden: wird der Zugriff von außen (eingehend/inbound) auf Datei- und Druckerfreigabe (File and Printer Sharing) erlaubt? Wenn ja (grüner Haken vor der Regel), warum? Braucht man das wirklich (beim einzigen PC im Haus: nein!)?
- Man setzt möglichst die genannte GPO bzw. deren Regkey (geht ggf. nur ab Win10 Pro, hab es nicht geprüft).
- Vorsicht: setzt man die GPO und/oder Firewallregel, kann ein anderen PC im Haus nicht mehr den Drucker benutzen, den der "Haupt-PC" ggf. bereitstellt.
- [PRIVAT] Allerdings halte ich generell hier die Gefahr zumindest daheim für wesentlich geringer: normal sollte man hinter einem Router sitzen, der den Zugriff sowieso direkt abblockt. Und unterwegs sollte die eigene Firewall eben entsprechend konfiguriert sein (hat man sie nicht angefasst, sollte das bereits der Fall sein).
Zuletzt bearbeitet:
Das wäre der Traum, Fakt ist das es viele kleine Orte mit IT gibt wo wegen 5 PCs oder 10 PCs es nur einen Server gibt, das fängt beim kleine Elektriker ums Eck an und hört bei der Arztpraxis ums Eck auf. Man kann diesen kleinen Betrieben oft keinen zweiten Server oder ne virtualisierung Verkaufen. Auch bein OpenSource virtualisierung beißt es dann am Ende an den Hardware oder Lizenzkosten.
Hast du eine Firma, hast du halt ausgaben.Fab schrieb:
Ich hasse es wenn immer an der IT gesparrt wird.
Jede aber auch wirklich jede Firma kann UND muss sich eine ausreichende IT-Landschaft herrichten. Gerade mit virtualisierung sollte es dann auch kein Problem sein DC und Printserver zu trennen.
PietVanOwl
Commander
- Registriert
- Mai 2007
- Beiträge
- 2.874
Blubmann1337
Ensign
- Registriert
- Dez. 2009
- Beiträge
- 242
Falc410
Vice Admiral
- Registriert
- Juni 2006
- Beiträge
- 6.640
Hilft denn eine Firewall? Ich lese bei MS, dass der Attack Vector auch Network ist: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Also es gibt wohl die Möglichkeit für Local Priviledge Escalation aber auch Remote - ich habe zu beiden jetzt PoC Videos gesehen. Aber wenn es Remote ist, warum finde ich mit Google nicht heraus über welchen Port der Printspooler läuft? Suche mir da schon seit einer Stunde nen Wolf.
Also es gibt wohl die Möglichkeit für Local Priviledge Escalation aber auch Remote - ich habe zu beiden jetzt PoC Videos gesehen. Aber wenn es Remote ist, warum finde ich mit Google nicht heraus über welchen Port der Printspooler läuft? Suche mir da schon seit einer Stunde nen Wolf.
elefant schrieb:
Ich kann auch deine Seite verstehen. Aber ein 5 Mann Betrieb wird keine 10 000 Euro für IT Ausgeben nur für eine ordentliche Hardware und Lizenzen uvm. Ich habe schon Kunden erlebt die bei einem Windows Server 2019 Standard 16 Core Version mein Kaufpreis schon ausgerastet sind. Und das nächste ist so eine IT Braucht auch etwas platz, ne usv und vielleicht sogar eine kleine Kühlung. Bei vielen kleinen steht das zeug in der Besenkammer und darf bloß nicht laut sein.
Ähnliche Themen
