Abermals könnten Angreifer Windows mehr als eine Drucker-Schwachstelle attackieren und Schadcode beleuchten. Bislang gibt es nur kombinieren Workaround zur Absicherung.
Security Von
- Dennis Schirrmacher
Microsoft warnt erneut vor einer Drucker-Sicherheitslücke in Windows. Ein Sicherheitspatch ist bislang nur angekündigt. Admins müssen Systeme über einen Workaround schützen. Microsoft zufolge soll es noch keine Attacken geben.
Wie aus einer Warnmeldung hervorgeht, betrifft die Schwachstelle (CVE-2021-34481) abermals den Printer-Spooler-Service. Erst vergangene Woche sorgte die durch einen Notfallpatch geschlossene PrintNightmare-Lücke (CVE-2021-34527) für Ärger bei Admins.
Schadcode-Lücke
Für die neue Schwachstelle gilt der Bedrohungsgrad "hoch". Welche Windows-Versionen betroffen sind, ist derzeit noch nicht bekannt. Wann ein Sicherheitspatch erscheinen soll, ist bislang unklar. Für erfolgreiche Attacken müssen sich Angreifer in eine Position befinden, in der sie bereits lokal Code auf Computern ausführen können. Das klappt zum Beispiel, wenn sie Opfer dazu bringen, ein präpariertes Dokument zu öffnen. Dementsprechend sollte man nicht jeden Dateianhang einer Mail ohne Nachzudenken öffnen. Das gilt übrigens nicht nur in diesem Fall.
Sind Attacken erfolgreich, könnten Angreifer Schadcode mit System-Rechten ausführen. Dadurch könnten Sie ganze Systeme kompromittieren und so die volle Kontrolle übernehmen. Ob davon auch Domain-Controller gefährdet sind, ist noch unklar. Das wäre besonders gefährlich, weil Angreifer dann ganze Netzwerke attackieren könnten.
Systeme absichern
Um Windows-PCs gegen solche Attacken abzusichern, empfiehlt Microsoft Admins den Print-Spooler-Service zu deaktivieren. Das zieht aber nach sich, dass man weder im Netzwerk noch lokal drucken kann. Um zu prüfen ob der Service läuft, müssen Admins in PowerShell folgenden Befehl eingeben
Get-Service -Name Spooler
Läuft der Service, kann man ihn über die folgenden Befehle beenden und dauerhaft deaktivieren:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
(des)
Quelle: www.heise.de