PrintNightmare Sicherheitslücke richtig schließen

Im kumulativen Juni Update, das am 8. Juni veröffentlicht wurde, hat Microsoft eine Sicherheitslücke im Print Spooler (CVE-2021-1675 [1]) behoben. Diese Schwachstelle ermöglichte es, den Angreifern per Fernzugriff böswillige Befehle und Programme auszuführen. Nachdem diese Lücke von Microsoft behoben wurde, fingen Sicherheitsforscher an, die Funktions- und Ausnutzungsweise (sogenannte Proof of Concepts) dieser Lücke zu veröffentlichen. Wie sich herausstellte, hatte die Forschergruppe eine andere, sehr ähnliche Lücke untersucht als die von Microsoft behobene Lücke. Bei der neu entdeckten Lücke handelt es sich um die PrintNightmare Lücke. Diese wird aufgrund des bereits veröffentlichten Ausnutzungs-Codes als sehr schädlich eingestuft, da es nun keine Komplexität mehr für Angreifer gibt.

Am 1. Juli hat Microsoft sofort einen Sicherheitslückenkatalogeintrag [2] für die PrintNightmare (CVE-2021-34527) erstellt. Sechs Tage später, am 6. Juli, folgte dann ein offizielles Out-of-Band Update von Microsoft, welches die Sicherheitslücke schließen soll. Aufgrund der Schwere dieser Lücke hat Microsoft Patches für Windows 7, Windows 8(.1) und Windows 10, sowie die jeweiligen Server Varianten, veröffentlicht. Es wird dringend empfohlen dieses Update einzuspielen, da es dem Angreifer ermöglicht sowohl von extern Code auszuführen als auch administrative Rechte zu erlangen.

Forscher fanden außerdem heraus, dass das alleinige Einspielen des Updates die Schwachstelle nicht komplett schließt und weiterhin das Ausführen von unerwünschtem Code über lokale Wege möglich ist. Daher wird dringend geraten, die Installation von Drucker Treibern weiter einzuschränken, so dass nur noch Administratoren Druckertreiber installieren können [3].

Hierzu wird wie folgt vorgegangen:

  1. Zuerst wird in dem Registry-Editor überprüft, ob sicherheitsbedenkliche Einstellungen für PointAndPrint gesetzt sind. Die Registry wird über Windows > Ausführen > regedit.exe geöffnet.  

  2. Nun navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint und überprüfen, ob NoWarningNoElevationOnInstall und UpdatePromptSettings auf 0 stehen oder erst gar nicht definiert sind. Ist dies der Fall sind Sie nicht weiter angreifbar. Sind hier andere Werte hinterlegt, fahren Sie mit Schritt 3) fort.

  3. Erstellen Sie eine neue oder öffnen Sie eine vorhandene Gruppenrichtlinie und navigieren Sie zu Computer Konfiguration -> Administrative Vorlagen -> Drucker und wählen Sie Point and Print Einschränkungen aus.

  4. In dem geöffneten Richtlinienfenster schalten Sie zuerst diese Richtlinie ein.
    Es stehen zwei Optionen für Sicherheitsbenachrichtigungen zur Verfügung:

  • Beim Installieren von Treibern für eine neue Verbindung und 

  • Beim Aktualisieren von Treibern für eine vorhandene Verbindung

Setzen Sie die Optionen im Dropdown-Menu auf Warnung und Anhebungsaufforderung anzeigen

PrintNightmare-1.png