PrintNightmare: Microsoft veröffentlicht Out-of-Band-Update
Anfang vergangener Woche hat Microsoft einen Notfall-Fix für die PrintNightmare-Schwachstelle veröffentlicht und das Unternehmen riet Nutzern, diese so schnell wie möglich zu installieren, da die Schwachstelle bereits aktiv bei Web-Angriffen ausgenutzt wird. Das Problem ist so gravierend, dass sogar Windows 7, das den Support des Unternehmens verloren hat, in die Update-Liste aufgenommen wurde. Aber dieser Patch hat die Schwachstelle offenbar nicht behoben. Noch wichtiger ist, dass die Drucker einiger Benutzer plötzlich nicht mehr funktionieren.
Die als CVE-2021-34527 identifizierte Schwachstelle PrintNightmare betrifft den Windows-Druckspoolerdienst, der in fast allen Betriebssystemversionen vorhanden ist. Bei erfolgreicher Ausnutzung kann diese Sicherheitsanfälligkeit einem Angreifer ermöglichen, mit SYSTEM-Berechtigungen die Kontrolle über das betroffene System zu übernehmen. Nachdem er die Kontrolle übernommen hat, kann der Angreifer Aktionen wie das Erstellen neuer Benutzerkonten mit erhöhten Rechten, das Installieren von Programmen und sogar das Anzeigen, Ändern oder Löschen von Benutzerdaten ausführen.
Microsoft hat die Schwachstelle als kritisch eingestuft und der Notfallfix ist über Windows Update und den Microsoft Update-Katalog als kumulatives Update KB5004945 für Windows 10 21H1, Windows 10 20H1 und Windows 10 v2004, KB5004946 für Windows 10 v1909, KB5004947 für Windows 10 v1809 verfügbar und Windows Server 2019, KB5004949 für Windows 10 v1803, KB5004950 für Windows 10 v1507, KB5004954 oder KB5004958 für Windows 8.1 und Windows Server 2012 und als KB5004955 oder KB5004959 für Windows Server 2008 SP2. Die Empfehlung des Unternehmens lautet, dass Benutzer die Lösung so schnell wie möglich installieren.
Für Benutzer von Windows 10 v1607 und Windows Server 2016 wird das Update in den kommenden Tagen von Microsoft bereitgestellt.
Microsoft bietet zwei Lösungen
Für Anwender, die die Notlösung nicht sofort auf ihren PCs installieren können, bietet Microsoft zwei Lösungen an. Zum einen muss der Windows-Spoolerdienst über PowerShell deaktiviert werden, zum anderen muss der Benutzer eine bestimmte Gruppenrichtlinie deaktivieren.
Methode 1: Deaktivieren Sie den Windows-Spooler-Dienst über PowerShell
Stellen Sie sicher, dass der Dienst ausgeführt wird, indem Sie den folgenden Befehl in PowerShell eingeben:
Get-Service -Namenspooler
Wenn der Windows-Druckspoolerdienst ausgeführt wird, geben Sie die folgenden Befehle in PowerShell ein, um ihn zu stoppen und zu deaktivieren:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Hinweis: Wenn diese Methode verwendet wird, ist es nicht möglich, lokal oder remote auf diesem System zu drucken.
Methode 2: Deaktivieren Sie den Remote-Druck über die Gruppenrichtlinie:
Geben Sie gpedit.msc in das Suchfeld oder in das Dialogfeld Ausführen ein, um den Gruppenrichtlinien-Editor zu öffnen, und gehen Sie zu Computerkonfiguration> Administrative Vorlagen> Drucker.
Suchen Sie dann die Gruppenrichtlinie „Job-Manager erlauben, Client-Verbindungen zu akzeptieren“ und markieren Sie sie als Deaktiviert.
Nach Angaben der Sicherheitsfirma Hacker House können Kriminelle auch nach der Installation eines Patches, der den CVE-2021-34527-Fehler beheben soll, immer noch bösartigen Code auf einem Computer installieren und den administrativen Zugriff auf Geräteeinstellungen freigeben.
Die einzige verfügbare Lösung scheint zu sein, dass der Kriminelle die Malware nicht mehr aus der Ferne ausführen kann. Auf der anderen Seite sagten Sicherheitsexperten Computer, dass der von Microsoft bereitgestellte vollständige Patch keine Wirkung hatte, da nicht hart gearbeitet werden muss, um das Remote-Sperrverfahren rückgängig zu machen und Administratorrechte auf den Geräten zu erhalten.
Aus Sicherheitsgründen empfiehlt Matthew Hickey, Mitbegründer von Hacker House, die Druckwarteschlange, in der PrintNightmare installiert ist und für die Kommunikation zwischen Ihrem PC/Laptop und dem Drucker zuständig ist, zu deaktivieren, bis ein neuer Patch veröffentlicht wird. Oder die Warteschlange wird deaktiviert, während der Benutzer keine Dateien druckt.
Abgesehen davon, dass der Patch von Microsoft nicht viel zu beheben scheint, behaupten einige Benutzer, die die Datei heruntergeladen haben, dass ihre Geräte nicht mehr mit Druckern verbunden sind. Die meisten Geräte stammen vom Hersteller Zebra. Microsoft ist sich des Problems bereits bewusst und weist darauf hin, dass Benutzer den Patch entfernen oder den Drucker mit Administratorrechten neu installieren.
Wie oben erwähnt, sind laut Microsoft alle Windows-Versionen anfällig für PrintNightmare, aber nicht alle Systeme verfügen über Patch-Dateien. Windows 10 Version 1607, Windows Server 2016 und Windows Server 2012 benötigen noch Patches, die Microsoft „bald“ veröffentlichen wird. Wenn für Ihre Windows-Version noch kein Patch verfügbar ist, empfiehlt Microsoft, den Spooler manuell zu deaktivieren, bis der Fehler mit einem Update behoben ist.