Jetzt handeln! Angreifer nutzen Drucker-Lücke PrintNightmare in Windows aus

Microsoft hat neue Informationen zur Sicherheitslücke namens PrintNightmare veröffentlicht. Unter anderem warnt der Softwarekonzern davor, dass Angreifer die Lücke bereits aktiv ausnutzen. In welchem Umfang das stattfindet, ist derzeit noch unbekannt. Da es noch kein Sicherheitsupdate gibt, müssen Admins jetzt handeln und Systeme temporär über eine Übergangslösung schützen (siehe Ende dieser Meldung).

Aufgrund einer Schwachstelle im Printer-Spooler-Service von Windows und Windows Server könnten authentifizierte Angreifer Computer attackieren und Schadcode mit System-Rechten ausführen.

Alle Windows-Versionen bedroht

Nun hat Microsoft eine Warnmeldung mit weiterführenden Informationen zur Sicherheitslücke (CVE-2021-34527) veröffentlicht. Dem Beitrag zufolge findet sich der fehlerhafte Code in allen unterstützten Windows-Versionen von Windows 7 SP1 bis Windows 10 21H1 und Windows Server 2019. Die betroffenen Ausgaben sind in dem Beitrag aufgelistet. Weitere Untersuchungen sollen zeigen, ob auch alle Systeme für Attacken anfällig sind. Microsoft will die Meldung fortlaufend aktualisieren.

c't Windows 2021

c't-Windows 2021 gibt Ihnen Werkzeuge an die Hand, um Ihren Alltag mit Windows zu erleichtern und bei der Konfiguration und Fehlersuche zu helfen. Titelgeschichte des Magazin: Das c't Notfall-Windows. Mit unserem Bausatz produzieren Sie binnen Minuten ein von USB-Stick bootfähiges Windows inklusive Werkzeuge zur Schädlingssuche, Datenrettung und Hardwarediagnose.

• Mehr Infos im heise Shop: c't Windows 2021

Eine Einstufung des Bedrohungsgrads steht noch aus. Klar ist nun aber, dass die Sicherheitsupdates vom Patchday im Juni für eine andere ähnliche Drucker-Lücke (CVE-2021-1675, "hoch") nicht die neue Schwachstelle stopfen. Dennoch empfiehlt Microsoft dringend, die Updates zu installieren.

Microsoft bestätigt, dass Domain-Controller von der neuen Lücke betroffen sind. Das ist ein besonders gefährliches Einfallstor für Angreifer, um ganze Netzwerke zu kompromittieren. Damit das nicht passiert, sollten Domain-Admins dringend den Printer-Spooler-Service deaktivieren. Wann ein Sicherheitspatch erscheint, ist bislang unbekannt. Eigentlich sollte das so schnell wie möglich geschehen. Es kann aber sein, dass Microsoft das Update erst am Patchday im Juli (13.7) veröffentlicht.

Workaround, das System abzusichern

Option 1:

Führen Sie die folgenden Befehle als Domain-Admin aus. Bitte beachten: Anschließend kann man nicht mehr lokal oder über das Netzwerk drucken.

Get-Service -Name Spooler

Wenn der Service läuft, deaktivieren Sie ihn mit den Befehlen:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Option 2:

Optional können Sie den Service auch über Gruppenrichtlinien deaktivieren. Das hat den Vorteil, dass man noch lokal drucken kann. Das System fungiert aber nicht mehr als Drucker-Server.

Geben Sie dafür nach dem Druck auf die Windows-Taste "gpedit.msc" ein, um den Editor für die lokalen Gruppenrichtlinien aufzurufen. Unter "Computerkonfiguration", "Administrative Vorlagen", "Drucker" finden Sie den Punkt "Annahme von Client-Verbindungen zum Druckspooler zulassen". Nach einem Rechtsklick wählen Sie "Bearbeiten" aus und wählen die Option "Deaktiviert" aus.

Damit die Gruppenrichtlinie auch aktiviert wird, müssen Sie den Dienst noch neu starten. Geben Sie also nach dem Druck auf die Windows-Taste "services.msc" ein, um die Diensteinstellungen zu öffnen. Dann den Eintrag "Druckerwarteschlange" suchen und anklicken und schließlich in der linken Spalte "Den Dienst neu starten" anklicken.

Option 3:

Die Exploits platzieren bösartige DLLs im Verzeichnis C:\Windows\System32\spool\drivers. Wenn man etwa mit ACLs dem SYSTEM-Benutzer verbietet, dieses Verzeichnis zu verändern, scheitern sie damit und das System wird nicht kompromittiert. Die Sicherheitsfirma Truesec stellt ein kleines Powershell-Skript bereit, das diese Einstellung vornimmt. Mit diesem temporären Workaround könne sich schützen, ohne den den Print-Spooler abzuschalten, erklären sie in ihrem Blog-Beitrag Fix for PrintNightmare CVE-2021-34527 exploit to keep your Print Servers running while a patch is not available

Allerdings können wir aktuell nicht beurteilen, ob das möglicherweise andere Nebenwirkungen hat und ob es tatsächlich langfristig schützt. Truesec beteuert zwar, dass ihnen aktuell keine Möglichkeit bekannt ist, wie der Exploit andere Verzeichnisse nutzen könnte. Doch das kann sich natürlich auch kurzfristig ändern. Dies ist die schwächste Form der Absicherung – aber allemal besser als das System aktuell offenzulassen.

Update 2. Juli 2021, 11:00: Option 3 als möglichen temporären Schutz nachgetragen. Bei Option 2 einen fehlenden Hinweis auf den Dienstneustart ergänzt. (des)