Microsoft hält an Funktionsweise vom PrintNightmare-Patch fest

Gegen die Drucker-Lücke gepatchte Windows-Systeme sind in den Standardeinstellungen sicher, garantiert Microsoft.

In Pocket speichern vorlesen Druckansicht 143 Kommentare lesen
Lesezeit: 2 Min.
Inhaltsverzeichnis

Microsoft versichert, dass der vor wenigen Tagen veröffentlichte Notfallpatch die PrintNightmare getaufte Sicherheitslücke in allen Windows-Versionen korrekt schließt. Damit das gegeben ist, muss Windows aber in den Standardeinstellungen laufen.

Nachdem mehrere Sicherheitsforscher demonstriert haben, dass der Patch Systeme unter bestimmten Bedingungen nicht effektiv schützt, hat Microsoft nun eine Stellungnahme veröffentlicht.

In der Stellungnahme garantiert Microsoft, dass der Patch Windows gegen alle derzeit bekannten PrintNightmare-Exploits rüstet. Sicherheitsforscher haben herausgefunden, dass das Sicherheitsupdate Systeme nicht schützt, wenn die Point-and-Print-Einschränkung aktiv ist.

Diese sorgt unter anderem dafür, dass beispielsweise eine für den Zugriff auf einen Netzwerkdrucker benötigte Treiberinstallation ohne Sicherheitswarnung, die ein Nutzer abnicken muss, stattfindet. Standardmäßig ist diese Richtlinie aber nicht aktiv und der Patch funktioniert, versichert Microsoft. Der Konzern führt aus, dass diese Einstellung Windows per se unsicher macht und nicht direkt mit der PrintNightmare-Verwundbarkeit in Zusammenhang steht.

Microsoft weist abermals darauf hin, dass alle Windows-Nutzer das Sicherheitsupdate so schnell wie möglich installieren sollten. Außerdem sollten Admins in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint sicherstellen, dass die folgenden Einträge nicht vorhanden – was standardmäßig der Fall ist - beziehungsweise deaktiviert sind.

  • NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhanden
  • UpdatePromptSettings = 0 (DWORD) oder nicht vorhanden

Wenn die Richtlinien aktiv sind, können Admins in einer Anleitung von Microsoft nachlesen, wie sie sie deaktivieren können.

Microsoft hat die Sicherheitslücke (CVE-2021-34527) in einer Warnmeldung als "kritisch" eingestuft. Aufgrund von Fehlern in Windows-Druckspooler könnten authentifizierte Angreifer Windows manipulierte Treiber unterschieben und im Anschluss Schadcode mit System-Rechten ausführen. Davon sind alle Windows-Versionen bedroht. Mittlerweile sind für Windows 7 SP1 bis Windows 10 21H1 und verschiedene Windows-Server-Versionen Sicherheitspatches erschienen. Microsoft hat die Updates und Hinweise zu Installation in einem Beitrag verlinkt.

(des)