Modern technology gives us many things.

Windows-Update unvollständig: Sicherheitsforscher umgehen PrintNightmare-Patch

0 0

Der PrintNightmare-Patch ist nun für alle Windows-Versionen verfügbar. Sicherheitsforschern zufolge schützt er aber nicht komplett vor Attacken.


    Windows-Update unvollständig: Sicherheitsforscher umgehen PrintNightmare-Patch


    Windows-Update unvollständig: Sicherheitsforscher umgehen PrintNightmare-Patch

Update Security Von

  • Dennis Schirrmacher

Sicherheitsforscher haben modifizierten Exploit-Code auf Windows losgelassen, um die Schutzleistung des jüngst als Notfallpatch veröffentlichten PrintNightmare-Updates zu testen. Dabei fanden sie heraus, dass immer noch Attacken möglich sind.

Microsoft hat die Sicherheitslücke (CVE-2021-34527) in Windows-Druckspooler als „kritisch“ eingestuft. Nach einer erfolgreichen Attacke könnten Angreifer beliebigen Code mit System-Rechten ausführen. Davon sind alle Windows-Versionen bedroht. Wie aus einer aktualisierten Warnmeldung hervorgeht, sind nun auch für Windows 10 Version 1607, Windows Server 2012 und Windows Server 20216 Sicherheitsupdates erschienen.

Doch wie verschiedene Sicherheitsforscher nun herausgefunden haben, scheint der Patch Windows nicht effektiv vor Attacken zu schützen. Wenn in der Point and Print Policy die Funktion NoWarningNoElevationOnInstall aktiv ist, hilft der Patch nicht. Davor warnt unter anderem das CERT der Carnegie Mellon University. Über die Policy können sich Computer ohne Installationsmedium mit einem entfernten Drucker verbinden.


    Windows-Update unvollständig: Sicherheitsforscher umgehen PrintNightmare-Patch


    Windows-Update unvollständig: Sicherheitsforscher umgehen PrintNightmare-Patch

Admins sollten prüfen, ob die Richtlinie Point-and-Print-Einschränkung aktiv ist und gepatchte Systeme deswegen verwundbar sind.

Auf unserem Testsystem mit Windows 10 21H1 und installiertem Sicherheitspatch war die Richtlinie standardmäßig nicht aktiviert. Es ist aber davon auszugehen, dass die Policy vor allem im Firmenumfeld von Admins eingesetzt wird, um das Drucken zu vereinfachen. Admins sollten dementsprechend im Editor für lokale Gruppenrichtlinien unter Administrative Vorlagen, Drucker, Point-and-Print-Einschränkungen prüfen, ob der Dienst konfiguriert und aktiv ist.

Läuft der Dienst, müssen Admins auf Workarounds zurückgreifen und beispielsweise Print Spooler komplett deaktivieren, um Computer zu schützen. Ob Microsoft das Problem kennt und ein neuer Patch geplant ist, ist derzeit unbekannt. Die Antwort auf eine Anfrage von heise Security an Microsoft steht noch aus. (Update) Mittlerweile hat Microsoft geantwortet: "Momentan können wir das nicht kommentieren."

Der Kern von PrintNightmare ist eine fehlende Prüfung (Access Control List ACL) wenn die Funktionen AddPrinterDriverEx (), RpcAddPrinterDriver () und RpcAsyncAddPrinterDriver () einen Treiber laden. So könnte ein authentifizierter Angreifer Systeme einen mit Schadcode versehenen Treiber unterschieben und letztlich eigenen Code mit System-Rechten ausführen.

Sicherheitsforschern zufolge setzt der Patch von Microsoft nicht an der ACL-Problematik an, sodass Attacken auch auf gepatchten Systemen möglich sind.

(Update 08.07.2021 10:35 Uhr)

Antwort von Microsoft in Fließtext eingefügt.

(des)

Quelle: www.heise.de

Hinterlasse eine Antwort

Deine Email-Adresse wird nicht veröffentlicht.