Ende Juni besprachen Sicherheitsforscher eine Schwachstelle im Druckerspooler (auf Englisch Print Spooler) in Windows, die sie PrintNightmare nannten. Die Schwachstelle sollte mit dem am Patch-Dienstag veröffentlichten Patch behoben werden – das war auch der Fall, aber es stellte sich heraus, dass es eine zweite Sicherheitslücke gab: Die Sicherheitslücke CVE-2021-1675 wurde geschlossen, aber CVE-2021-34527 blieb offen. Die Ausnutzung der Schwachstellen auf ungepatchten Computern oder Servern könnte Angreifern die vollständige Kontrolle über die anfälligen Systeme ermöglichen, weil der Druckspoolerdienst von Microsoft in Windows-Systemen standardmäßig aktiviert ist.
Microsoft verwendet den Namen PrintNightmare für CVE-2021-34527 aber nicht für CVE-2021-1675, während viele andere den Namen für beide Sicherheitslücken verwenden.
Unsere Experten haben beide Schwachstellen sorgfältig untersucht und sichergestellt, dass[kesb placeholder]Kasperskys Sicherheitslösungen[kesb placeholder], die sowohl über Technologie zur Exploit-Prävention als auch über verhaltensbasierte Erkennungsfunktionen verfügen, mögliche Exploit-Versuche erfolgreich abwehren können.
Warum PrintNightmare gefährlich ist
PrintNightmare wird aus zwei Gründen als besonders gefährlich eingestuft. Erstens: Da der Druckspoolerdienst von Microsoft standardmäßig auf allen windows-basierten Systemen aktiviert ist, einschließlich Domänencontroller und Computer mit Systemverwalterrechten, sind alle diese Computer anfällig.
Zweitens: Führte ein Missverständnis (und vielleicht es auch einfach ein Fehler) bei Forscherteams dazu, dass der Proof-of-Concept (PoC)-Code für den Exploit von PrintNightmare online veröffentlicht wurde. Das geschah, weil sich die Forscher recht sicher waren, dass das Problem bereits im Juni durch den Patch von Microsoft behoben wurde und aus diesem Grund teilten sie ihre Forschungsergebnisse mit der Experten-Community. Allerdings war das nicht der Fall und die Schwachstelle stellte weiterhin eine Gefahr dar. Die vollständige technische Beschreibung mit PoC-Code wurde in kürzester Zeit gelöscht, aber Dritte hatten bereits Kopien davon gemacht. Deshalb gehen die Experten von Kaspersky davon aus, dass die Exploit-Versuche über PrintNightmare zunehmen werden.
Die Schwachstellen und deren Exploits
Die Schwachstelle CVE-2021-1675 kann verwendet werden, um die Privilegien zu erhöhen (Elevation of Privilege). Das heißt, sie ermöglicht es den Angreifern mit geringen Zugriffsprivilegien eine schädliche DLL-Datei zu erstellen und zu nutzen, um einen Exploit auszuführen und damit eine Rechteausweitung zu erzielen. Das ist allerdings nur möglich, wenn der Angreifer bereits Zugriff auf den entsprechenden, anfälligen Computer hat. Deshalb stuft Microsoft diese Schwachstelle als nicht besonders risikoreich ein.
CVE-2021-34527 ist weitaus gefährlicher: Diese Schwachstelle weist zwar gewisse Ähnlichkeiten mit der anderen auf, aber hier handelt es sich um eine RCE-Schwachstelle (Remote Code Execution), die es ermöglicht aus der Ferne DLLs in das anfällige System einzufügen. Microsoft hat den Exploit bereits in freier Wildbahn gesichtet. Auf der Securelist von Kaspersky finden Sie eine detailliertere technische Beschreibung der Schwachstellen und die Techniken, die für die Exploits verwendet werden.
Da Angreifer PrintNightmare verwenden können, um Zugriff auf die Daten in IT-Infrastrukturen von Unternehmen zu erhalten, ist es durchaus möglich, dass dieser Exploit auch für Ransomware-Angriffe genutzt wird.
So schützen Sie Ihre IT-Infrastruktur vor PrintNightmare
Der erste Schritt, um Angriffe über PrintNightmare vorzubeugen, besteht darin beide Patches von Microsoft zu installieren – sowohl der Patch von Juni als auch der Patch von Juli. Auf der zweiten Seite finden Sie auch einige Workarounds von Microsoft, für den Fall, dass Sie die Patches nicht verwenden können – für eins der Hilfsverfahren ist es noch nicht einmal notwendig den Windows-Druckerspooler zu deaktivieren.
Abgesehen davon, empfehlen wir den Druckerspooler von Windows zu deaktivieren, wenn die Funktion auf dem entsprechenden Computer nicht verwendet wird. Insbesondere Domänencontroller werden in der Regel nicht zum Drucken verwendet.
Darüber hinaus brauchen alle Server und Computer eine zuverlässige Endpoint-Sicherheitslösung, die Exploit-Versuche von bekannten und unbekannten Schwachstellen, einschließlich PrintNightmare, erfolgreich verhindern kann.