Microsoft hat Notfall-Sicherheitsupdates veröffentlicht, um die Zero-Day-Sicherheitslücke PrintNightmare in Windows zu schließen, die in der realen Welt aktiv ausgenutzt wird.
Die Schwachstelle PrintNightmare steht im Zusammenhang mit dem Windows-Druckspooler und betrifft alle Windows-Versionen. Leider behebt der Patch die Schwachstelle nicht vollständig und Angreifer können sie dennoch ausnutzen, um SYSTEM-Rechte zu erlangen.
Die Sicherheitsanfälligkeit CVE-2021-34527 durch Remote Code Execution ermöglicht es Angreifern, die Kontrolle über betroffene Server zu übernehmen. Bei erfolgreichem Betrieb erhalten sie SYSTEM-Privilegien, dh sie können Programme installieren, Daten einsehen, ändern und löschen sowie neue Konten mit vollen Rechten erstellen.
Ausführliche Anweisungen zum Installieren von Sicherheitsupdates außerhalb der Reihenfolge für Ihr Betriebssystem finden Sie in den unten verlinkten Support-Dokumenten:
Windows 10 Version 21H1 (KB5004945)
Windows 10 Version 20H1 (KB5004945)
Windows 10 Version 2004 (KB5004945)
Windows 10-Version 1909 (KB5004946)
Windows 10 Version 1809 und Windows Server 2019 (KB5004947)
Windows 10, Version 1803 (KB5004949) [noch nicht verfügbar]
Windows 10 Version 1507 (KB5004950)
Windows 8.1 und Windows Server 2012 (monatliches Rollup KB5004954 / Sicherheitsupdate KB5004958)
Windows 7 SP1 und Windows Server 2008 R2 SP1 (monatliches Rollup KB5004953 / Sicherheitsupdate KB5004951)
Windows Server 2008 SP2 (monatliches Rollup KB5004955 / Sicherheitsupdate KB5004959)
Microsoft hat noch keine Sicherheitsupdates für Windows 10, Version 1607, Windows Server 2016 oder Windows Server 2012 veröffentlicht, verspricht dies aber in Kürze.
Das Unternehmen informiert:
Versionshinweise für diese Updates können sich bis zu einer Stunde verzögern, nachdem die Updates zum Download verfügbar sind.
Updates für die verbleibenden betroffenen unterstützten Versionen von Windows werden in den kommenden Tagen veröffentlicht.
Die Patches beheben nur die Remote-Ausnutzung:
Die PrintNightmare-Schwachstelle umfasst einen Vektor zur Remote Code Execution (RCE) und Local Privilege Escalation (LPE), die bei Angriffen ausgenutzt werden können, um Befehle mit SYSTEM-Rechten auf einem betroffenen System auszuführen.
Nachdem Microsoft ein Notfall-Update veröffentlicht hatte, hat der Sicherheitsforscher Matthew Hickey den Patch überprüft und bestätigt, dass er nur die RCE-Komponente behebt, nicht die LPE.
Dies bedeutet, dass der Patch unvollständig ist und Angreifer und Malware die Schwachstelle ausnutzen können, um SYSTEM-Rechte zu erlangen.
Maßnahmen zum Schließen der Schwachstelle sind ebenfalls verfügbar:
Microsoft empfiehlt Kunden dringend, diese außer Betrieb befindlichen Sicherheitsupdates sofort anzuwenden, um die Sicherheitsanfälligkeit in PrintNightmare zu beheben.
Benutzer, die diese Updates nicht so schnell wie möglich installieren können, können die im Security Bulletin CVE-2021-34527 veröffentlichten Problemumgehungen lesen, um ihre Systeme vor Angriffen zu schützen, die PrintNightmare ausnutzen.
Zu den verfügbaren Angriffsminderungsoptionen gehören das Deaktivieren des Druckspoolerdienstes – in diesem Fall die Möglichkeit, lokal oder remote zu drucken – und das Deaktivieren des eingehenden Remotedrucks mithilfe von Gruppenrichtlinien, um den Remoteangriffsvektor durch Blockieren eingehender Remotedruckvorgänge zu entfernen.
Microsoft sagt, dass mit der zweiten Option "das System nicht mehr als Druckserver funktioniert, aber lokales Drucken auf einem direkt angeschlossenen Gerät funktioniert weiterhin."
Letzte Woche hat die Cyber and Infrastructure Protection Agency (CISA) eine PrintNightmare-Schwachstellenwarnung herausgegeben, die Administratoren rät, den Druckspooler-Dienst auf Servern zu deaktivieren, die nicht zum Drucken verwendet werden.
2021-07-08 15:17:07
Autor: Vitalii Babkin