von Martin Brinkmann am 03. Juli 2021 in Windows – Keine Kommentare
Microsoft hat kürzlich eine neue Sicherheitsanfälligkeit in Windows zur Remotecodeausführung bekannt gegeben, die den Windows-Druckspooler verwendet. Die Sicherheitsanfälligkeit wird aktiv ausgenutzt und Microsoft hat zwei Workarounds veröffentlicht, um Systeme vor Angriffen zu schützen.
Die bereitgestellten Informationen reichen nicht aus, da Microsoft nicht einmal die Versionen von Windows offenlegt, die von dem Sicherheitsproblem betroffen sind. So wie es aussieht, scheint dies hauptsächlich Domänencontroller und nicht die Mehrheit der Heimcomputer zu betreffen, da hierfür authentifizierte Remotebenutzer erforderlich sind.
0Patch, die den Patch analysiert haben, weisen darauf hin, dass das Problem hauptsächlich Windows Server-Versionen betrifft, aber auch Windows 10-Systeme und Nicht-DC-Server betroffen sein können, wenn Änderungen an der Standardkonfiguration vorgenommen wurden:
< p>UAC (User Account Control) ist komplett deaktiviert
PointAndPrint NoWarningNoElevationOnInstall ist aktiviert
Das CVE bietet die folgende Beschreibung:
Es liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, wenn der Windows-Druckspoolerdienst privilegierte Dateivorgänge nicht ordnungsgemäß ausführt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit SYSTEM-Berechtigungen ausführen. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder neue Konten mit vollen Benutzerrechten erstellen.
An einem Angriff muss ein authentifizierter Benutzer beteiligt sein, der RpcAddPrinterDriverEx() aufruft.
Stellen Sie sicher, dass Sie die am 8. Juni 2021 veröffentlichten Sicherheitsupdates installiert haben , und lesen Sie die Abschnitte FAQ und Problemumgehung in diesem CVE, um zu erfahren, wie Sie Ihr System vor dieser Sicherheitsanfälligkeit schützen können.
Microsoft bietet zwei Vorschläge: den Druckspoolerdienst zu deaktivieren oder den eingehenden Remotedruck mithilfe der Gruppenrichtlinie zu deaktivieren. Die erste Problemumgehung deaktiviert das Drucken (lokal und remote) auf dem Gerät. Dies kann eine Lösung auf Systemen sein, auf denen keine Druckfunktionalität erforderlich ist, aber es ist nicht wirklich eine Option, wenn auf einem Gerät gedruckt wird. Sie können den Druckspooler bei Bedarf umschalten, aber das kann schnell lästig werden.
Die zweite Problemumgehung erfordert Zugriff auf die Gruppenrichtlinie, die nur in den Pro- und Enterprise-Versionen von Windows verfügbar ist.
Hier sind beide Problemumgehungen:
Um den Druckspooler zu deaktivieren, gehen Sie wie folgt vor:
- Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, z. indem Sie Windows-X verwenden und Windows PowerShell (Admin) auswählen.
- Get-Service -Name Spooler ausführen.
- Stop-Service -Name Spooler -Force ausführen
- Stop-Service -Name Spooler -Force
- Set-Service -Name Spooler -StartupType Disabled
Befehl (4) stoppt den Druckspooler-Dienst, Befehl (5) deaktiviert es. Beachten Sie, dass Sie nach den Änderungen nicht mehr drucken können (es sei denn, Sie aktivieren den Druckspooler-Dienst wieder.
Um eingehenden Remote-Druck zu deaktivieren, gehen Sie wie folgt vor:
- Öffnen Sie Start.
- Geben Sie gpedit.msc ein.
- Laden Sie den Gruppenrichtlinien-Editor.
- Gehen Sie zu Computerkonfiguration/Administrative Vorlagen/Drucker.
- Doppelklicken Sie auf Druckspooler erlauben, Clientverbindungen zu akzeptieren.
- Setzen Sie die Richtlinie auf Deaktiviert.
- Wählen Sie OK.
0Patch hat einen Mikropatch entwickelt und veröffentlicht, der das Problem mit der Remote-Codeausführung des Druckspoolers behebt. Der Patch wurde zu diesem Zeitpunkt nur für Windows Server erstellt, insbesondere für Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 und Windows Server 2019.