Microsoft behebt Sicherheitslücke im Windows-Druckspooler PrintNightmare

0

Microsoft hat die PrintNightmare-Schwachstelle im Windows-Druckspooler behoben, indem Benutzer über Administratorrechte verfügen müssen, wenn sie die Funktion “Zeigen und Drucken” zur Installation von Druckertreibern verwenden.

Im Juni hatte ein Sicherheitsforscher versehentlich eine Zero-Day-Schwachstelle im Windows Print Spooler mit der Bezeichnung PrintNightmare (CVE-2021-34527) aufgedeckt. Wenn diese Schwachstelle ausgenutzt wird, ist es möglich, Remotecode auszuführen und lokale SYSTEM-Rechte zu erlangen.

Microsoft veröffentlichte kurz darauf ein Sicherheitsupdate, das zwar die Komponente der Remotecodeausführung, nicht aber den Teil der lokalen Rechteerweiterung behob.

Forscher fanden jedoch schnell heraus, dass es möglich war, die Funktion “Zeigen und Drucken” auszunutzen, um bösartige Druckertreiber zu installieren, die es wenig privilegierten Benutzern ermöglichten, SYSTEM-Berechtigungen in Windows zu erlangen.

Point and Print ist eine Windows-Funktion, die es Benutzern ermöglicht, eine Verbindung zu einem Druckerserver herzustellen, selbst zu einem entfernten, mit dem Internet verbundenen Server, und automatisch die Druckertreiber des Servers herunterzuladen und zu installieren.

Der Dragos-Sicherheitsforscher Jacob Baines entdeckte außerdem eine Schwachstelle im Windows-Druckspooler, die als CVE-2021-34481 gekennzeichnet ist und Microsoft eine Erhöhung der Berechtigungen ermöglicht.

Baines gab weitere Informationen über seine Schwachstelle in einem Def Con-Vortrag mit dem Titel “Bring Your Own Print Driver Vulnerability” bekannt.

Point and Print erfordert jetzt Administratorrechte
Im Rahmen der heutigen Patch Tuesday-Sicherheitsupdates für August 2021 behebt Microsoft diese “PrintNightmare”-Schwachstellen, indem ein Benutzer über Administratorrechte verfügen muss, um einen Druckertreiber über die Point and Print-Funktion zu installieren.

“Unsere Untersuchung mehrerer Schwachstellen, die unter dem Begriff “PrintNightmare” zusammengefasst werden, hat ergeben, dass das Standardverhalten von Point and Print den Kunden nicht das erforderliche Maß an Sicherheit bietet, um sich vor potenziellen Angriffen zu schützen”, so Microsoft in einem neuen Advisory.

“Heute gehen wir dieses Risiko an, indem wir das Standardverhalten bei der Installation und Aktualisierung des Point and Print-Treibers so ändern, dass Administratorrechte erforderlich sind. Die Installation dieses Updates mit den Standardeinstellungen wird die öffentlich dokumentierten Sicherheitslücken im Windows Print Spooler-Dienst entschärfen.”

“Diese Änderung wird mit der Installation der Sicherheitsupdates wirksam, die am 10. August 2021 für alle Windows-Versionen veröffentlicht werden, und ist als CVE-2021-34481 dokumentiert.”

Microsoft warnt davor, dass diese Änderung Auswirkungen auf Organisationen haben kann, die es bisher nicht berechtigten Benutzern erlaubt haben, Druckertreiber hinzuzufügen oder zu aktualisieren, da sie dazu nicht mehr in der Lage sein werden.

Für Unternehmen, die die Installation von Druckertreibern durch nicht berechtigte Benutzer verlangen, hat Microsoft einen Hinweis mit Anweisungen zur Deaktivierung dieses Fixes veröffentlicht.

Microsoft empfiehlt jedoch dringend, diese Änderung nicht zu deaktivieren, da sie “Ihre Umgebung den öffentlich bekannten Sicherheitslücken im Windows Print Spooler-Dienst aussetzt”.

Update 8/10/21 4:02 PM EST: Leider hat Delpy kurz nach der Veröffentlichung des Sicherheitsupdates durch Microsoft bestätigt, dass sein Druckertreiber-PoC immer noch funktioniert, um erhöhte Rechte zu erlangen.

 

Share.

Leave A Reply