Update #3 - PrintNightmare: Kritische Sicherheitslücke in Microsoft Windows (Print Spooler Service) - ausstehende Patches nachgereicht

1. Juli 2021

Update: 2. Juli 2021

Update: 7. Juli 2021

Update: 12. Juli 2021

Beschreibung

Vorab: Es handelt sich bei dieser Schwachstelle mit dem Namen "PrintNightmare", nicht um die bereits unter CVE-2021-1675 bekannte Anfälligkeit.

Im Zuge der Veröffentlichung eines Patches für CVE-2021-1675 durch Microsoft am 8. Juni wurde ein Report durch die Entdecker dieser Schwachstelle publiziert, welcher die genauen technischen Details beschreibt. Dies hat wiederum zu einer Publikation anderer Sicherheitsforscher geführt, welche der Ansicht waren, dieselbe entdeckt zu haben. Dass es sich um eine andere Schwachstelle ohne verfügbaren Patch, von den Entdeckern "PrintNightmare" genannt, handelte, war diesen zu diesem Zeitpunkt nicht bewusst. Obwohl der Proof-Of-Concept Code zur Ausnutzung von "PrintNightmare" wieder entfernt wurde, sind Kopien davon angefertigt worden und wurden bereits zu vollfunktionsfähigen Exploits weiterentwickelt.
Es gibt nach derzeitigem Stand keine Information zu einem Patch durch Microsoft. Workarounds sind verfügbar.

Update: 2. Juli 2021

Folgend dem nun von Microsoft veröffentlichten Update-Guide wird die Schwachstelle inzwischen aktiv ausgenutzt.

Update: 12. Juli 2021

Patches für alle unterstützen Windows-Versionen sind verfügbar. Anfänglich gab es einige Unklarheiten ob die Patches die Lücken auch tatsächlich schließen - dies ist laut Microsoft der Fall, sofern man nicht bestimmte (unsichere) Registry-Settings aktiviert hat. Welche Probleme beim Einspielen der Updates auftreten können, sowie Diskrepanzen zwischen der englischen und deutschen Dokumentation hat Günter Born von borncity.com in seinem Blog übersichtlich zusammengefasst.

CVE-Nummern: N/A

CVSS Base Score: N/A

Update: 2. Juli 2021

CVE-Nummern: CVE-2021-34527

Update: 12. Juli 2021

CVSS Base Score: 8.8

Auswirkungen

Das Ausnutzen der Schwachstelle im Microsoft Windows-Druckspoolerdienst, der den Zugriff auf die Funktion RpcAddPrinterDriverEx() nicht einschränkt, kann es authentifizierten Remote-AngreiferInnen ermöglichen, beliebigen Code mit SYSTEM-Rechten auf einem anfälligen System auszuführen.

Betroffene Systeme

 Alle unterstützten Versionen von Microsoft Windows und Microsoft Windows Server.

Abhilfe

Stoppen und Deaktivieren des Print Spooler Service.
Dieser Workaround deaktiviert allerdings jegliche Druckfunktionalität auf den betroffenen Systemen, vor Deaktivierung des Dienstes ist daher abzuwägen, ob dieser auf dem entsprechenden System unbedingt benötigt wird.

Ein weiterer Workaround gegen die aktuell vorhandenen Exploits, der Drucken weiterhin ermöglicht, ist die Einschränkung der Access Control Lists (ACL) auf C:\Windows\System32\spool\drivers wie hier beschrieben.

Update: 2. Juli 2021

Microsoft empfiehlt in einem nun veröffentlichten Update-Guide "inbound remote printing" via Group Policy zu deaktivieren, sollte der Print Spooler Service auf den Systemen benötigt werden.

Update: 7. Juli 2021

Microsoft hat nun Patches (ausgenommen Windows 10 Version 1607, Windows Server 2016 und Windows Server 2012) bereitgestellt. Informationen dazu finden sich in KB5005010 und im Microsoft-Eintrag zu CVE-2021-34527.

Update: 12. Juli 2021

Microsoft hat mittlerweile die noch ausstehenden Patches für die Windows-Versionen Windows 10 Version 1607, Windows Server 2016 und Windows Server 2012 nachgereicht

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.


Informationsquelle(n):

Artikel bei heise.de
https://www.heise.de/news/PrintNightmare-Schadcode-Luecke-in-Windows-bedroht-ganze-Netzwerke-6124838.html

CERT/CC Vulnerability Note VU#383432 (englisch)
https://www.kb.cert.org/vuls/id/383432

Blogpost von Günter Born auf borncity.com
https://www.borncity.com/blog/2021/07/08/nachlese-das-chaos-printnightmare-notfall-update-6-7-juli-2021/

Microsoft-Blogpost zur angeblichen Wirkungslosigkeit der Patches (englisch)
https://msrc-blog.microsoft.com/2021/07/08/clarified-guidance-for-cve-2021-34527-windows-print-spooler-vulnerability//