PrintNightmare: Schadcode-Lücke in Windows bedroht ganze Netzwerke

Inhaltsverzeichnis

Derzeit ist Exploit-Code in Umlauf, der an einer bislang ungepatchten Sicherheitslücke in vielen Windows-Versionen ansetzt. Ein Sicherheitsupdate ist bislang nicht verfügbar. Es gibt aber einen Workaround, über den Admins Systeme vor Attacken schützen können. Ob es bereits Attacken gibt, ist bislang nicht bekannt.

c't Windows 2021

c't-Windows 2021 gibt Ihnen Werkzeuge an die Hand, um Ihren Alltag mit Windows zu erleichtern und bei der Konfiguration und Fehlersuche zu helfen. Titelgeschichte des Magazin: Das c't Notfall-Windows. Mit unserem Bausatz produzieren Sie binnen Minuten ein von USB-Stick bootfähiges Windows inklusive Werkzeuge zur Schädlingssuche, Datenrettung und Hardwarediagnose.

• Mehr Infos im heise Shop: c't Windows 2021

Schadcode mit System-Rechten ausführen

Das Problem findet sich im Printer-Spooler-Service von Windows. Dem derzeitigen Informationsstand zufolge sind davon alle Versionen von Windows 7 SP1 bis Server 2019 betroffen. Verschiedene Sicherheitsforscher geben an, vollständig gepatchte Systeme mit Windows Server 2019 erfolgreich attackiert zu haben. Als Ergebnis konnten sie Schadcode mit System-Rechten ausführen. Passiert das auf einem Domain-Server, könnten Angreifer sich im Netzwerk ausbreiten und weitere Computer mit Malware infizieren.

Einem Bericht des CERT der Carnegie Mellon University zufolge muss ein entfernter Angreifer für eine erfolgreiche Attacke aber authentifiziert sein. Ist das gegeben, könnte er an der verwundbaren RpcAddPrinterDriverEx()-Funktion des Windows-Print-Spooler-Service ansetzen und dem Betriebssystem einen mit Schadcode präparierten Treiber unterschieben. Diese wird dann mit System-Rechten ausgeführt.

Wie kam es dazu?

Am Patchday im Juni hat Microsoft eine ähnliche Sicherheitslücke (CVE-2021-1675, „hoch“) in Printer Spooler geschlossen. Für die neue Schwachstelle existiert bislang noch keine CVE-Nummer und Einstufung des Bedrohungsgrads. Sicherheitsforscher sprechen von einem kritischen Bug.

Das Problem ist, dass Forscher von Sangfor versehentlich Exploit-Code für die neue Lücke veröffentlicht haben. Das geschah im Zuge der Vorbereitungen für einen Vortrag über Printer-Spooler-Bugs auf der anstehenden Hacker-Konferenz Black Hat im August 2021. Erst nach der Veröffentlichung stellte sich heraus, dass der Code gar nicht für die bereits geschlossene Lücke ist, sondern für eine neue Schwachstelle. Doch da war es bereits zu spät und der Zero-Day-Exploit kursiert im Netz.

Was ist jetzt zu tun?

Bislang hat Microsoft keinen Sicherheitspatch angekündigt. Es ist davon auszugehen, dass das Update erst am Patchday (13. Juli) kommen wird. Bis dahin sollten Admins den Print-Spooler-Service deaktivieren, um Systeme gegen die geschilderte Attacke abzusichern.

• Demo-Exploit PrintNightmare

(des)