Alert!

PrintNightmare: Schon wieder eine Drucker-Lücke in Windows ohne Patch

Microsoft kriegt seine Druckerverwaltung offensichtlich nicht in den Griff, Angreifer könnten sich erneut System-Rechte verschaffen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 134 Beiträge
Von
  • Dennis Schirrmacher

Der Sicherheitsforscher Benjamin Delpy demonstriert eine neue Methode, wie Angreifer Windows über eine Schwachstelle in der Druckerverwaltung attackieren könnten. Bislang gibt es noch keinen Patch, Systeme lassen sich nur über Workarounds schützen.


Erst am Patchday im August hat Microsoft erneut Sicherheitsupdates veröffentlicht, um Drucker-Lücken zu schließen. Die PrintNightmare-Lücken beschäftigen Microsoft seit Anfang Juli. Durch die Installation eines präparierten Treibers könnten sich Angreifer mit System-Rechten ausstatten.

Kurz nach dem Patchday hat Microsoft nun Infos zu einer weiteren Schwachstelle (CVE-2021-36958, "hoch") veröffentlicht. Durch das erfolgreiche Ausnutzen der Lücke könnten sich lokale Angreifer abermals System-Rechte verschaffen. In dieser gefährlichen Position könnten sie etwa eigene Programme installieren oder neue Accounts anlegen. In solchen Fällen gelten Systeme in der Regel als vollständig kompromittiert.

Welche Windows-Systeme konkret betroffen sind, ist noch nicht bekannt. Von früheren PrintNightmare-Lücken waren alle Windows-Ausgaben inklusive Windows Server bedroht.


Mit dem letzten Sicherheitspatch führte Microsoft ein, dass nur noch Admins Drucker-Treiber installieren können, umso die Angriffsfläche zu verkleinern. Delpy fand aber heraus, dass sich dieser Schutz vergleichsweise einfach umgehen lässt.

Wenn der Treiber bereits installiert ist, benötigt man keine Admin-Rechte, um sich mit einem Drucker zu verbinden. In diesem Fall konnte er über die CopyFile-Direktive eine präparierte DLL-Datei auf Computer kopieren und ausführen, um so eine Kommandozeile mit System-Rechten zu öffnen. Dafür muss sich ein Opfer lediglich mit einem Drucker verbinden.

Aktueller PrintNightmare-Exploit

Einen Sicherheitspatch hat Microsoft bislang nur angekündigt. Wann er erscheinen soll, ist noch unklar. Microsoft verweist auf den monatlichen Patchday – wenngleich dieser erst vor wenigen Tagen stattgefunden hat. Im schlimmsten Fall müssen Admins knapp einen Monat warten. Die erste PrintNightmare-Lücke wurde durch einen außerplanmäßigen Notfallpatch geschlossen.

Bis dahin müssen Admins Systeme abermals dadurch absichern, dass sie den Print-Spooler-Service deaktivieren. Im Anschluss kann man jedoch nicht mehr lokal oder über das Netzwerk drucken.

Get-Service -Name Spooler

Wenn der Service läuft, deaktivieren Sie ihn mit den Befehlen:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Alternative Workarounds zum Absichern, nach deren Durchführung man zum Teil noch drucken kann, haben wir in einer früheren Meldung zusammengetragen.

(des)