Schwachstelle PrintNightmare bedroht Sicherheit von Windows-Geräten

Paul Baird

Der Druckspoolerdienst von Windows ist durch eine ungepatchte Sicherheitslücke bei vielen Geräten aktuell ein Angriffspunkt für einen Exploit-Code. Dieser Schadcode kann aufgrund der Sicherheitslücke in der Druckwarteschlange in das System eindringen. Auf diesem Weg ist es böswilligen Akteuren möglich, remote Windows-Versionen zu kompromittieren und auf ihnen Code mit Systemrechten auszuführen.

Öffentlich gemacht wurde der Exploit-Code durch ein chinesisches Team an Sicherheitsforschern. Dieses nahm an, es handele sich bei der Sicherheitslücke um die bereits im Juni gepatchte Sicherheitslücke CVE-2021-1675. Doch Microsoft machte mittlerweile öffentlich, es handele sich aktuell um die neue Sicherheitslücke CVE-2021-34527. Für diese gibt es derzeit noch kein Datum für einen Patch. Es kann sein, dass dieser Patch Teil des nächsten Patchdays von Microsoft im Juli 2021 wird.

So kann man sich schützen

Laut Microsoft werde die Zero-Day-Lücke aktuell bereits für Angriffe genutzt. Die US-Behörde CISA empfiehlt daher, bis zum nächsten Patch mit einem Workaround zu arbeiten. Dieser besteht in der Deaktivierung des Druckspoolerdienstes von Windows in Domänencontrollern und nicht druckenden Systemen. Für das konkrete Vorgehen wird dabei auf die Verwendung eines Gruppenrichtlinienobjekts verwiesen. Diese Methode ist in den Anleitungen von Windows erläutert.

Paul Baird, UK Chief Technology Security Officer bei Qualys, schätzt die Sicherheitslücke wie folgt ein: „Diese Schwachstelle ist ein Albtraum, denn IT-Teams können nicht einfach so den Druckspooler stoppen. Sie können auch nicht auf die Veröffentlichung des Patches warten. Vielmehr ist ein robustes Überwachungssystem im Moment die einzige Chance für die Teams. So können sie vom Spoolerdienst erzeugte bösartige Prozesse erkennen. Aber selbst das ist keine einfache Aufgabe. Man muss das System überhaupt erst einmal kennen und feststellen können, ob es nicht neue Druckertreiber benötigt. Denn man kann nicht einfach so ein gutes oder schlechtes Vorkommnis erkennen.

Viele Unternehmen haben schon jetzt Schwierigkeiten, mit dem regelmäßigen Patch-Management Schritt zu halten. Jede Version und jeder Typ von Windows – Client und Server – sind betroffen. Daher wird es schwierig sein, den Fix zügig durchzuführen, sobald er verfügbar ist.“