Microsoft hat am Mittwoch ein Notfall-Update veröffentlicht, um eine Schwachstelle im Windows-Druckspooler-Dienst zu schließen, die aktiv in freier Wildbahn ausgenutzt wird. Die Zero-Day-Sicherheitslücke, die PrintNightmare genannt wird, betrifft alle Versionen des Microsoft Windows-Betriebssystems bis hin zu Windows 7.
Der als CVE-2021-34527 indizierte Fehler in der Remote-Code-Ausführung wird in Bezug auf den Schweregrad hoch eingestuft und hat eine Punktzahl von 8,2 von 10 auf der Skala des Common Vulnerability Scoring System (CVSS). Die Sicherheitslücke wurde als so schwerwiegend angesehen, dass Microsoft beschloss, einen Out-of-Band-Patch herauszugeben, anstatt den Fix als Teil des üblichen Dienstagspatchs zu veröffentlichen, das für nächste Woche geplant ist.
„Es liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, wenn der Windows-Druckspoolerdienst privilegierte Dateivorgänge nicht ordnungsgemäß ausführt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit SYSTEM-Berechtigungen ausführen. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder neue Konten mit vollen Benutzerrechten erstellen“, lautet die Beschreibung des Fehlers von Microsoft.
Das neueste Update wurde auf Patch-Versionen von Windows verschoben, die im vorherigen Out-of-Band-Sicherheitsupdate vom 6. Juli nicht behandelt wurden. nämlich Windows Server 2012, Windows Server 2016 und Windows 10, Version 1607.
Einige Forscher stellten jedoch schnell fest, dass der Patch nicht das volle Ausmaß der Schwachstelle behebt. Tatsächlich wies der Redmonder Tech-Gigant auch darauf hin, dass die Systeme unter bestimmten Umständen weiterhin angreifbar sind: "Wenn NoWarningNoElevationOnInstall auf 1 gesetzt wird, wird Ihr System vom Design her anfällig." Es wurden jedoch auch Workarounds für das Problem veröffentlicht.
Die erste Problemumgehung konzentriert sich auf das Deaktivieren des Druckspoolerdienstes, der Benutzer daran hindert, sowohl lokal als auch remote zu drucken. Der zweite weist Administratoren und Benutzer an, den eingehenden Remote-Druck über die Gruppenrichtlinie zu deaktivieren. Dadurch werden Remote-Angriffe blockiert, da eingehende Remote-Druckvorgänge verhindert werden. Das System funktioniert dann jedoch nicht mehr als Druckserver. Das Drucken über direkt angeschlossene Geräte ist jedoch weiterhin möglich.
Die Schwachstelle konnte bis Ende Juni zurückverfolgt werden, als eine Gruppe von Sicherheitsforschern einen Proof-of-Concept-Exploit veröffentlichte und fälschlicherweise glaubte, das Problem sei behoben. Die Verwirrung rührte von einer ähnlichen Schwachstelle (CVE-2021-1675) her, die auch den Druckspooler-Dienst betrifft.
Administratoren und Benutzer, die nicht dazu gekommen sind, ihre Systeme zu patchen, tun gut daran, dies sofort zu tun. Die Updates sind auf allen gängigen Release-Kanälen wie Windows Update, Microsoft Update Catalog und Windows Server Update Services zu finden.