09/07/2021
Kritische Schwachstelle inDruckerspooler auf Microsoft Systemen
Im Rahmen des letzten Patchdays veröffentlichte Microsoft neben Sicherheitsupdates zusätzlichInformationen über die Schwachstelle CVE-2021-1675 [MS2021a]. Betroffen ist hier die Warteschlange (Spooler), die von Windows-Systemen zur Abarbeitung von Druckaufträgen genutzt wird. Von der Schwachstelle betroffen sind die Clientversionen Windows 7, Windows 8.1, Windows RT 8.1, Windows10 (1607, 1809, 19009, 2004, 20H2, 21H1) als auch Serverversionen (2008, 2008 R2, 2012, 2012 R2, 2016,2019, 2004, 20H2) von Microsoft Windows. Vom Hersteller wurde die Ausnutzung der Sicherheitslücke zunächst als aufwändig eingestuft. Die Schwachstelle ließ sich aus der Entfernung mit gültigen Anmeldeinformationen ausnutzen und erlaubt Codeausführung sowie die Eskalation von Privilegien. In der Nacht vom 29.06. auf den 30.06.2021 wurde Proof of Concept Exploitcodeveröffentlicht [GIT2021a, GIT2021a]. Die als Printnightmare benannten Exploits nehmen Bezug auf CVE-2021-1675 und nutzen eine bislang ungepatchte Schwachstelle des Spooler-Dienstes aus. Trotz des von Microsoft bereitgestellten Updates im Juni sind Angriffe auf den Spooler-Dienst weiterhin möglich. Dem BSI sowie weiteren Sicherheitsforschern ist das entfernte Ausführen des Exploits unter Verwendung von Anmeldeinformationen eines unprivilegierten Domänenbenutzers auf einem vollständig mit aktuellen Sicherheitsupdates versorgten Windows Server 2019 und Windows Server 2016 Domänencontroller gelungen. Der veröffentlichte Exploit-Code wurde bereits in Angriffswerkzeuge integriert [TR2021a, SA2021a]. Update 1:Von Microsoft wurde ein Sicherheitshinweis veröffentlicht [MS2021c]. Die aktuelle Spooler-Schwachstelle wird darin unter CVE-2021-34527 geführt. Inwiefern jenseits von Domänencontrollern weitere Windows-Versionen konkret betroffen sind wird derzeit noch vom Hersteller untersucht. Der Sicherheitshinweis soll diesbezüglich fortlaufend aktualisiert werden. Update 2: Microsoft hat ein Out-of-Band Update für CVE-2021-34527 veröffentlicht. Dieses steht bislang für einige der betroffenen Windows-Versionen zur Verfügung. Für Windows 10 Version 1607, Server 2012 und 2016 sollen laut Microsoft in Kürze Sicherheitsupdates veröffentlicht werden. Außerdem wurden die Sicherheitshinweise aktualisiert[MS2021c]. Nach Einspielen des Updates können unprivilegierte Benutzer nur noch signierte Druckertreiber auf einem Druckserver hinzufügen. Soll auch dies nicht möglich sein, so stellt Microsoft in [MS2021d] einen Registry-Key"RestrictDriverInstallationToAdministrators" zur Verfügung. Wird der zugehörige Wert auf '1' gesetzt, so ist es unprivilegierten Benutzern in Folge auch nicht mehr möglich signierte Druckertreiber auf einem Druckserver hinzuzufügen. Unsignierte und signierte Druckertreiber können dann nur noch mit administrativen Berechtigungen installiert werden.
