Inhaltsverzeichnis
Update per WSUS verfügbar!
Microsoft hat ein Update zur Verfügung gestellt welches per WSUS verteilt werden kann:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Sachverhalt
Im Rahmen des letzten Patchdays veröffentlichte Microsoft neben Sicherheitsupdates zusätzlichInformationen über die Schwachstelle CVE-2021-1675 [MS2021a]. Betroffen ist hier die Warteschlange (Spooler), die von Windows-Systemen zur Abarbeitung von Druckaufträgen genutzt wird. Von der Schwachstelle betroffen sind die Clientversionen Windows 7, Windows 8.1, Windows RT 8.1, Windows 10 (1607, 1809, 19009, 2004, 20H2, 21H1) als auch Serverversionen (2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2004, 20H2) von Microsoft Windows. Vom Hersteller wurde die Ausnutzung der Sicherheitslücke zunächst als aufwändig eingestuft. Die Schwachstelle ließ sich aus der Entfernung mit gültigen Anmeldeinformationen ausnutzen und erlaubt Codeausführung sowie die Eskalation von Privilegien. In der Nacht vom 29.06. auf den 30.06.2021 wurde Proof of Concept Exploitcode veröffentlicht. Die als Printnightmare benannten Exploits nehmen Bezug auf CVE-2021-1675 und nutzen eine bislang
ungepatchte Schwachstelle des Spooler-Dienstes aus. Trotz des von Microsoftbereitgestellten Updates im Juni sind Angriffe auf den Spooler-Dienst weiterhin möglich. Dem BSI sowie weiteren Sicherheitsforschern ist das entfernte Ausführen des Exploits unter Verwendung von Anmeldeinformationen eines unprivilegierten Domänenbenutzers auf einem vollständig mit aktuellen Sicherheitsupdates versorgten Windows Server 2019 und Windows Server 2016 Domänencontroller gelungen. Der veröffentlichte Exploit-Code wurde bereits in Angriffswerkzeuge integriert.
Bewertung
Das BSI bewertet die Schwachstelle als kritisch. Da insbesondere auf Domänencontrollern der Spooler-Dienst ohne weitere Härtungsmaßnahmen standardmäßig aktiviert und authentisiert erreichbar ist, besteht hier ein besonderes Risiko. Mittels eines kompromittierten Arbeitsplatzrechners kann dadurch letztlich die Kontrolle über bspw. die Druckserver oder Domänencontroller im NT-Authorität\System Kontext und folglich potentiell das gesamte Netzwerk erlangt werden. Aufgrund dessen ist von einer unmittelbaren Ausnutzung im Rahmen von Angriffen auszugehen.
Maßnahmen
Der Spooler-Dienst kann innerhalb einer Windowsdomäne über die Gruppenrichtlinien (Computer Configuration \Policies\Windows Settings\System Services\Print Spooler) und in lokal verwalteten Systemen über die Powershell oder die Diensteverwaltung (services.msc) deaktiviert werden.