PrintNightmare – Der Albtraum geht weiter

0
Malicious Code
-Werbung-

Microsoft hatte zuletzt im Rahmen des Juli-Patchdays bereits vorab ein außerordentliches Sicherheitsupdate für die PrintNightmare Sicherheitslücke veröffentlicht.

Es droht neues Ungemach, denn eine weitere Sicherheitslücke (CVE-2021-36958) schlummert in der Druckverwaltung. Auch bei dieser Lücke können sich Angreifer durch das Einschleusen eines Treibers (Updates) Systemrechte verschaffen.

Benjamin Delpy demonstriert das Vorgehen in einem Video. Microsoft hat mit dem letzten Update zwar dafür gesorgt, dass nur noch Admins einen neuen Druckertreiber installieren können. Ist der Treiber allerdings bereits installiert, sind keine weitere Rechte erforderlich, um sich mit einem „Drucker“ zu verbinden. Die dabei kopierte DLL-Datei sorgt dann dafür, dass sich eine Kommandozeile mit Systemrechten öffnet.

Vimeo

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von Vimeo.
Mehr erfahren

Video laden

Workaround

Außer dem zeitnahen Einspielen der Sicherheitsupdates tun IT Admins gut daran, den Spooler Dienst (und ggf. andere nicht erforderliche Dienste) serverseitig deaktivieren.

Des Weiteren sollte Gruppenrichtlinien die GPO-Einstellung für Point- und Print-Verbindung auf einzig zugelassene Server limitiert werden.

Ich kann mir gut vorstellen, dass auch diese Sicherheitslücke nicht die letzte bleiben wird, Admins sollten also handeln… Mittlerweile hat die Ransomware-Branche die PrintNightmare Lücke auch in ihr Arsenal aufgenommen, um gezielt Windows Server zu attackieren und zu verschlüsseln.

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here