Zero-Day-Schwachstelle „PrintNightmare“ gefährdet die Sicherheit von Windows-Geräten

Paul Baird, CTSO von Qualys

Der Druckspoolerdienst von Windows ist aufgrund einer ungepatchten Sicherheitslücke bei vielen Geräten aktuell ein Angriffspunkt für einen öffentlich gewordenen Exploit-Code. Dabei kann dieser Schadcode aufgrund der Sicherheitslücke in der Druckwarteschlange in das System eindringen. Auf diesem Weg ist es böswilligen Akteuren möglich, remote Windows-Versionen zu kompromittieren und auf ihnen Code mit Systemrechten auszuführen. Ein Kommentar von Paul Baird, UK Chief Technology Security Officer bei Qualys.

Öffentlich gemacht wurde der Exploit-Code durch ein chinesisches Team an Sicherheitsforschern. Dieses nahm an, es handele sich bei der Sicherheitslücke um die bereits im Juni gepatchte Sicherheitslücke CVE-2021-1675. Doch Microsoft machte mittlerweile in einer Warnung öffentlich, es handele sich aktuell um die neue Sicherheitslücke CVE-2021-34527, für die derzeitig noch kein konkretes Datum für einen Patch in Aussicht gestellt wird. Es kann sein, dass dieser Patch Teil des nächsten Patchdays von Microsoft im Juli 2021 wird.

Laut Microsoft werde die Zero-Day-Lücke aktuell bereits für Angriffe genutzt. Die US-Behörde CISA empfiehlt daher, bis zum nächsten Patch mit einem Workaround zu arbeiten. Dieser besteht in der Deaktivierung des Druckspoolerdienstes von Windows in Domänencontrollern und nicht druckenden Systemen. Für das konkrete Vorgehen wird dabei auf die Verwendung eines Gruppenrichtlinienobjekts verwiesen. Diese Methode wird in den Anleitungen von Windows erläutert.

Diese Schwachstelle ist ein Albtraum, denn IT-Teams können nicht einfach so den Druckspooler stoppen und auch nicht auf die Veröffentlichung des Patches warten. Vielmehr ist ein robustes Überwachungssystem im Moment die einzige Chance für die Teams. So können vom Spoolerdienst erzeugte bösartige Prozesse erkannt werden. Aber selbst das ist keine einfache Aufgabe. Man muss das System überhaupt erst einmal kennen und feststellen können, ob es nicht neue Druckertreiber benötigt. Denn man kann nicht einfach so ein gutes oder schlechtes Vorkommnis erkennen.

Viele Unternehmen haben schon jetzt Schwierigkeiten, mit dem regelmäßigen Patch-Management Schritt zu halten. Jede Version und jeder Typ von Windows – Client und Server – sind betroffen. Daher wird es schwierig sein, den Fix zügig durchzuführen, sobald er verfügbar ist.

#Qualys