Microsoft hält an Funktionsweise vom PrintNightmare-Patch fest
Gegen die Drucker-Lücke gepatchte Windows-Systeme sind in den Standardeinstellungen sicher, garantiert Microsoft.
Microsoft versichert, dass der vor wenigen Tagen veröffentlichte Notfallpatch die PrintNightmare getaufte Sicherheitslücke in allen Windows-Versionen korrekt schließt. Damit das gegeben ist, muss Windows aber in den Standardeinstellungen laufen.
Nachdem mehrere Sicherheitsforscher demonstriert haben, dass der Patch Systeme unter bestimmten Bedingungen nicht effektiv schützt, hat Microsoft nun eine Stellungnahme veröffentlicht.
Der Sicherheitspatch funktioniert
In der Stellungnahme garantiert Microsoft, dass der Patch Windows gegen alle derzeit bekannten PrintNightmare-Exploits rüstet. Sicherheitsforscher haben herausgefunden, dass das Sicherheitsupdate Systeme nicht schützt, wenn die Point-and-Print-Einschränkung aktiv ist.
Diese sorgt unter anderem dafür, dass beispielsweise eine für den Zugriff auf einen Netzwerkdrucker benötigte Treiberinstallation ohne Sicherheitswarnung, die ein Nutzer abnicken muss, stattfindet. Standardmäßig ist diese Richtlinie aber nicht aktiv und der Patch funktioniert, versichert Microsoft. Der Konzern führt aus, dass diese Einstellung Windows per se unsicher macht und nicht direkt mit der PrintNightmare-Verwundbarkeit in Zusammenhang steht.
Jetzt patchen!
Microsoft weist abermals darauf hin, dass alle Windows-Nutzer das Sicherheitsupdate so schnell wie möglich installieren sollten. Außerdem sollten Admins in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint sicherstellen, dass die folgenden Einträge nicht vorhanden – was standardmäßig der Fall ist - beziehungsweise deaktiviert sind.
- NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhanden
- UpdatePromptSettings = 0 (DWORD) oder nicht vorhanden
Wenn die Richtlinien aktiv sind, können Admins in einer Anleitung von Microsoft nachlesen, wie sie sie deaktivieren können.
Die Schwachstelle
Microsoft hat die Sicherheitslücke (CVE-2021-34527) in einer Warnmeldung als "kritisch" eingestuft. Aufgrund von Fehlern in Windows-Druckspooler könnten authentifizierte Angreifer Windows manipulierte Treiber unterschieben und im Anschluss Schadcode mit System-Rechten ausführen. Davon sind alle Windows-Versionen bedroht. Mittlerweile sind für Windows 7 SP1 bis Windows 10 21H1 und verschiedene Windows-Server-Versionen Sicherheitspatches erschienen. Microsoft hat die Updates und Hinweise zu Installation in einem Beitrag verlinkt.
(des)