Microsoft hat Benutzer auf eine ungepatchte kritische Sicherheitslücke im Windows Print Manager-Dienst aufmerksam gemacht. Die Rede ist von der Sicherheitslücke PrintNightmare, die vor wenigen Tagen bekannt wurde, als Forscher fälschlicherweise einen PoC-Exploit veröffentlichten, um diese auszunutzen. Obwohl Microsoft die Schwere dieses Fehlers nicht erkannte, ermöglicht er die Remotecodeausführung mit Systemprivilegien, was ein ernstes Problem darstellt.
Die Sangfor-Forscher haben einen PoC-Exploit veröffentlicht, der anscheinend ein Fehler oder Missverständnis zwischen ihnen und Microsoft war. Obwohl der Exploit schnell entfernt wurde, ist klar, dass es einigen GitHub-Benutzern gelungen ist, ihn herunterzuladen. Die Forscher planten, auf der jährlichen Sicherheitskonferenz von Black Hat im Laufe dieses Monats die zahlreichen Schwachstellen im Windows-Druckspooler detailliert zu beschreiben. Es sieht so aus, als ob die Forscher dachten, dass Microsoft die PrintNightmare-Schwachstelle mit einem aktuellen Patch behoben hat, aber tatsächlich wurde eine andere Schwachstelle behoben, die auch das Druck-Subsystem betrifft.
Microsoft hat mehrere Tage gebraucht, bis offiziell bekannt wurde, dass die Sicherheitslücke PrintNightmare weiterhin eine Bedrohung darstellt und sogar von Angreifern in der Praxis genutzt wird. Da die Sicherheitsanfälligkeit eine Remotecodeausführung mit Administratorrechten ermöglicht, können Angreifer damit verschiedene Aufgaben ausführen, darunter das Verteilen von Schadsoftware und das Stehlen von Daten von Opfern.
Microsoft hat bestätigt, dass die Sicherheitsanfälligkeit alle Versionen von Windows betrifft, es ist jedoch unklar, ob die Sicherheitsanfälligkeit in Clientversionen des Betriebssystems genutzt werden kann oder nur Serverversionen des Betriebssystems betrifft. Der Print Manager-Dienst ist standardmäßig unter Windows aktiviert, einschließlich Clientversionen des Betriebssystems, Domänencontrollern und vielen Editionen von Windows Server. Microsoft arbeitet an einem Fix, und bis zur Veröffentlichung wird Benutzern empfohlen, den Windows-Druckspooler zu deaktivieren oder die Möglichkeit zum Remote-Senden von Dokumenten zum Drucken mithilfe von Gruppenrichtlinien zu deaktivieren.
2021-07-02 17:28:35
Autor: Vitalii Babkin