Security Announcement: Microsoft PrintNightmare

Wichtiger Sicherheitshinweis: Windows PrintNightmare

Am 07. Juli hat Microsoft einen Notfallpatch für die als PrintNightmare (CVE-2021-34527) bekannt gewordene Verwundbarkeit im PrintSpooler Service veröffentlicht. Der Patch ist für alle Betriebssysteme verfügbar, die sich noch im aktiven Support befinden:

https://docs.microsoft.com/en-us/windows/release-health/windows-message-center

Installationsanweisungen für das out-of-Band Update wurde für folgende Betriebssysteme veröffentlicht:

Windows 10, version 21H1 (KB5004945)
Windows 10, version 20H1 (KB5004945)
Windows 10, version 2004 (KB5004945)
Windows 10, version 1909 (KB5004946)
Windows 10, version 1809 and Windows Server 2019 (KB5004947)
Windows 10, version 1803 (KB5004949)
Windows 10, version 1607 and Windows Server 2016 (KB5004948)
Windows 10, version 1507 (KB5004950)
Windows Server 2012 (Monthly Rollup KB5004956 / Security only KB5004960)
Windows 8.1 and Windows Server 2012 R2 (Monthly Rollup KB5004954 / Security only KB5004958)
Windows 7 SP1 and Windows Server 2008 R2 SP1 (Monthly Rollup KB5004953 / Security only KB5004951)
Windows Server 2008 SP2 (Monthly Rollup KB5004955 / Security only KB5004959)

Eine vollständige Auflistung aller Betriebssystem-Versionen, für die ein Patch zur Verfügung steht, befindet sich im zugehörigen Update-Guide.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

Meist gestellte Fragen:

Frage: Unter welchen Voraussetzungen ist meine Umgebung verwundbar?

Antwort: Ein Cyber Security Spezialist hat dies verständlich in einem Flowchart zusammengefasst:

Quelle: https://twitter.com/gentilkiwi/status/1412424077655085072

Frage: Kann mich meine Endpoint Protection Lösung vor dem Angriff schützen?

Antwort: Nicht vollständig und nur unter bestimmten Voraussetzungen. Das manipulative Laden von bösartigen DLL´s kann mit Verhaltensanalyse-Mechanismen erkannt werden. Diese Mechanismen kommen in der Regel in Next-Gen Endpoint Protection-, oder EDR/XDR-Lösungen zum Einsatz. Allerdings muss die eingesetzte Software auch dementsprechend konfiguriert und durch Personal überwacht werden, um eine Erkennung und Alarmierung zu gewährleisten.

Frage: Microsoft hat doch bereits früher einen Patch für diese Schwachstelle veröffentlicht, war dieser nicht wirksam?

Antwort: Doch, aber nur gegen eine der beiden involvierten CVE´s:

CVE-2021-1675 beschreibt eine Sicherheitsanfälligkeit, bei der durch Ausnutzung eine manipulative Erhöhung der Berechtigungen ermöglicht wird. Sie ermöglicht es einem Angreifer, eine bösartige DLL-Datei zu laden, um höhere Privilegien zu erlangen. Dies ist jedoch nur möglich, wenn der Angreifer bereits direkten Zugriff auf den betreffenden verwundbaren Computer hat. Microsoft stuft diese Sicherheitslücke als relativ risikoarm ein.

Diese Schwachstelle wurde im Juni Update von Microsoft behoben.

CVE-2021-34527 ist als sehr viel gefährlicher einzustufen: Der Grundsätzliche Mechanismus des Angriffs ähnelt dem ersteren, jedoch handelt es sich hierbei um eine RCE-Schwachstelle (Remote Code Execution). Dies bedeutet, dass der Angriff von Remoteangreifern durchgeführt werden kann. Microsoft hat bereits Exploits dieser Schwachstelle in freier Wildbahn dokumentiert.

Diese Schwachstelle wurde im kürzlich veröffentlichten Patch adressiert.

Frage: Was ist mit meinen Systemen, die nicht gepatcht werden können.

Antwort: Hier sollte mit Workarounds gearbeitet werden.

1. Deaktivieren des DruckerSpooler Service auf allen Systemen auf denen er nicht benötigt wird.

2. Alternativ: Eingehenden Remote-Druck über die Gruppenrichtlinie deaktivieren

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

Frage: Gibt es eine Möglichkeit festzustellen, ob wir bereits angegriffen wurden?

Antwort: Die Antwort auf diese Frage kann überaus komplex werden und fällt bei jeder Infrastruktur anders aus.

Je nach eingesetzter Technologie/Software gibt es Möglichkeiten Muster zu ermitteln um eine Aussage zu treffen, beispielsweise indem man nach verdächtigen Aktivitäten der spoolsv.exe via registry sucht.

Beispiele:

Microsoft Powershell: