Management Summary:
Der Microsoft Windows Print Spooler Service kann den Zugriff auf die Funktion RpcAddPrinterDriverEx() nicht einschränken. Dies ermöglicht einen authentifizierten Remote-Angreifer beliebigen Code mit Systemberechtigungen auf dem System auszuführen.
Die Schwachstelle ist nicht ganz so kritisch da man für einen erfolgreichen Angriff einen gültigen Benutzer im Netzwerk benötigt. Da dies aber durch Phising usw. nicht allzu schwer ist sollte einer der empfohlenen Workarounds auf den Systemen zeitnah durchgeführt werden.
Kurzmaßnahme:
Auf den Clients wird der Eintrag "Disable the “Allow Print Spooler to accept client connections:” über die Gruppenrichtlinie gesetzt, um Fernagriff zu unterbinden.
Beschreibung:
Der Microsoft Windows Print Spooler Service kann den Zugriff auf die Funktion RpcAddPrinterDriverEx() nicht einschränken. Dies ermöglicht einen authentifizierten Remote-Angreifer beliebigen Code mit Systemberechtigungen auf dem System auszuführen.
Die RpcAddPrinterDriverEx()Funktion wird verwendet, um einen Druckertreiber auf einem System zu installieren. Einer der Parameter dieser Funktion ist das DRIVER_CONTAINER Objekt, das Informationen darüber enthält, welcher Treiber vom hinzugefügten Drucker verwendet werden soll. Ein Angreifer kann sich die Tatsache zunutze machen, dass jeder authentifizierte Benutzer RpcAddPrinterDriverEx()eine Treiberdatei aufrufen und angeben kann, die sich auf einem Remote-Server befindet. Dies führt dazu, dass der Druckspooler-Dienst "spoolsv.exe" Code in einer beliebigen DLL-Datei mit Systemrechten ausführt.
Betroffene Systeme:
Alle unterstützten Versionen von Microsoft Windows und Microsoft Windows Server.
Behobene Version:
Es ist zurzeit nur ein Workaround für diese Schwachstelle vorhanden.
Empfohlene Maßnahme:
Auf allen Systemen, bei denen der Printservice nicht benötigt wird, diesen stoppen und deaktivieren(zumindest auf allen Domain Controllern). siehe: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Bei allen anderen Systemen die Access Control Lists (ACL) auf C:\Windows\System32\spool\drivers einschränken. Siehe: https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/
Einschätzung der Bedrohungslage:
Die Schwachstelle ist nicht ganz so kritisch da man für einen erfolgreichen Angriff einen gültigen Benutzer im Netzwerk benötigt. Da dies aber durch Phising usw. nicht allzu schwer ist sollte einer der empfohlenen Workarounds auf den Systemen zeitnah durchgeführt werden.
Weitere Hinweise:
https://cert.at/de/warnungen/2021/7/printnightmare-kritische-sicherheitslucke-in-microsoft-windows-print-spooler-service-workarounds-verfugbar
https://www.heise.de/news/PrintNightmare-Schadcode-Luecke-in-Windows-bedroht-ganze-Netzwerke-6124838.html https://www.kb.cert.org/vuls/id/383432
Betroffene Assets:
Alle unterstützten Versionen von Microsoft Windows und Microsoft Windows Server.
Status:
Not Solved