Update #5 - PrintNightmare: Kritische Sicherheitslücke in Microsoft Windows (Print Spooler Service) - ausstehende Patches bzw. Workarounds nachgereicht

1. Juli 2021

Update: 2. Juli 2021

Update: 7. Juli 2021

Update: 12. Juli 2021

Update: 13. August 2021

Update: 17. September 2021

Beschreibung

Vorab: Es handelt sich bei dieser Schwachstelle mit dem Namen "PrintNightmare", nicht um die bereits unter CVE-2021-1675 bekannte Anfälligkeit.

Im Zuge der Veröffentlichung eines Patches für CVE-2021-1675 durch Microsoft am 8. Juni wurde ein Report durch die Entdecker dieser Schwachstelle publiziert, welcher die genauen technischen Details beschreibt. Dies hat wiederum zu einer Publikation anderer Sicherheitsforscher geführt, welche der Ansicht waren, dieselbe entdeckt zu haben. Dass es sich um eine andere Schwachstelle ohne verfügbaren Patch, von den Entdeckern "PrintNightmare" genannt, handelte, war diesen zu diesem Zeitpunkt nicht bewusst. Obwohl der Proof-Of-Concept Code zur Ausnutzung von "PrintNightmare" wieder entfernt wurde, sind Kopien davon angefertigt worden und wurden bereits zu vollfunktionsfähigen Exploits weiterentwickelt.
Es gibt nach derzeitigem Stand keine Information zu einem Patch durch Microsoft. Workarounds sind verfügbar.

Update: 2. Juli 2021

Folgend dem nun von Microsoft veröffentlichten Update-Guide wird die Schwachstelle inzwischen aktiv ausgenutzt.

Update: 12. Juli 2021

Patches für alle unterstützen Windows-Versionen sind verfügbar. Anfänglich gab es einige Unklarheiten ob die Patches die Lücken auch tatsächlich schließen - dies ist laut Microsoft der Fall, sofern man nicht bestimmte (unsichere) Registry-Settings aktiviert hat. Welche Probleme beim Einspielen der Updates auftreten können, sowie Diskrepanzen zwischen der englischen und deutschen Dokumentation hat Günter Born von borncity.com in seinem Blog übersichtlich zusammengefasst.

Update: 13. August 2021

Mit den August-Updates sind weitere Lücken im Druckspoolerdienst geschlossen worden, allerdings wurde die Funktionalität der Patches wiederum schnell angezweifelt. So schreibt z.B. der Sicherheitsforscher Benjamin Delpy auf Twitter, dass Mimikatz' Exploit des Druckspoolerdienstes nach wie vor funktioniert. Mittlerweile ist auch nicht mehr ganz eindeutig, welche Lücke(n) mit der Bezeichnung "PrintNightmare" gemeint sind.

Update: 17. September 2021

Mit den September-Updates wurde auch CVE-2021-36958 geschlossen und damit ist mit PrintNightmare (hoffentlich) vorbei. Sicherheitsforscher Benjamin Delpy bestätigte in einem Tweet, dass nach diesem Update die bisherigen Exploits nicht mehr funktionieren.

CVE-Nummern: N/A

CVSS Base Score: N/A

Update: 2. Juli 2021

CVE-Nummern: CVE-2021-34527

Update: 12. Juli 2021

CVSS Base Score: 8.8

Update: 13. August 2021

CVE-Nummern:

Auswirkungen

Das Ausnutzen der Schwachstelle im Microsoft Windows-Druckspoolerdienst, der den Zugriff auf die Funktion RpcAddPrinterDriverEx() nicht einschränkt, kann es authentifizierten Remote-AngreiferInnen ermöglichen, beliebigen Code mit SYSTEM-Rechten auf einem anfälligen System auszuführen.

Betroffene Systeme

 Alle unterstützten Versionen von Microsoft Windows und Microsoft Windows Server.

Abhilfe

Stoppen und Deaktivieren des Print Spooler Service.
Dieser Workaround deaktiviert allerdings jegliche Druckfunktionalität auf den betroffenen Systemen, vor Deaktivierung des Dienstes ist daher abzuwägen, ob dieser auf dem entsprechenden System unbedingt benötigt wird.

Ein weiterer Workaround gegen die aktuell vorhandenen Exploits, der Drucken weiterhin ermöglicht, ist die Einschränkung der Access Control Lists (ACL) auf C:\Windows\System32\spool\drivers wie hier beschrieben.

Update: 2. Juli 2021

Microsoft empfiehlt in einem nun veröffentlichten Update-Guide "inbound remote printing" via Group Policy zu deaktivieren, sollte der Print Spooler Service auf den Systemen benötigt werden.

Update: 7. Juli 2021

Microsoft hat nun Patches (ausgenommen Windows 10 Version 1607, Windows Server 2016 und Windows Server 2012) bereitgestellt. Informationen dazu finden sich in KB5005010 und im Microsoft-Eintrag zu CVE-2021-34527.

Update: 12. Juli 2021

Microsoft hat mittlerweile die noch ausstehenden Patches für die Windows-Versionen Windows 10 Version 1607, Windows Server 2016 und Windows Server 2012 nachgereicht

Update: 13. August 2021

CVE-2021-36936 und CVE-2021-34481 sind lt. Microsoft mit dem August-Patchday behoben, für CVE-2021-36958, die Microsoft erst einen Tag nach dem August-Patchday bekannt gemacht hat, gibt es derzeit keine Patches, sondern lediglich einen Workaround, der darin besteht, den Druckspoolerdienst zu deaktivieren.

Update: 17. Septmeber 2021

Microsofts Updates für Windows vom September 2021 beheben auch die letzte Lücke (CVE-2021-36958) die zu PrintNightmare gezählt wird.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Artikel bei heise.de
https://www.heise.de/news/PrintNightmare-Schadcode-Luecke-in-Windows-bedroht-ganze-Netzwerke-6124838.html
https://www.heise.de/news/PrintNightmare-Schon-wieder-eine-Drucker-Luecke-in-Windows-ohne-Patch-6163743.html

CERT/CC Vulnerability Note VU#383432 (englisch)
https://www.kb.cert.org/vuls/id/383432

Blogpost von Günter Born auf borncity.com
https://www.borncity.com/blog/2021/07/08/nachlese-das-chaos-printnightmare-notfall-update-6-7-juli-2021/

Microsoft-Blogpost zur angeblichen Wirkungslosigkeit der Patches (englisch)
https://msrc-blog.microsoft.com/2021/07/08/clarified-guidance-for-cve-2021-34527-windows-print-spooler-vulnerability/