PrintNightmare: Was Unternehmen tun müssen

security-2972105_1280

Ein Beitrag unseres Gastautors Stefan Molls,RVP, Risk & Security bei Tanium

Wie zahlreiche Nachrichtenportale berichten, ist der Print-Spooler-Dienst von Microsoft anfällig für eine kritische Schwachstelle (CVE-2021-34527). Diese ermöglicht es Angreifern unter bestimmten Voraussetzungen, Schadcode mit Systemrechten auszuführen und somit das System zu kompromittieren. Um die Lücke erfolgreich auszunutzen, muss der Angreifer zumindest über Benutzerrechte verfügen/authentifiziert sein. Leider gibt es inzwischen auch schon mindesten einen bekannten Fall wo diese Schwachstell aktiv ausgenutzt wurde und der es bis in die Medien geschafft hat: Bei diesem Fall handelt es sich um die Kreisverwaltung im Kreis Anhalt-Bitterfeld in Sachsen-Anhalt bei der diese Schwachstelle genutzt wurde, um Ransomware zu verteilen. Diese Schadsoftware führte letztlich zu einem Komplettausfall der Verwaltungs-IT.

Der Code zum Ausnutzen dieser Schwachstelle ist „versehentlich“ ins Internet gelangt, als sich die Sicherheitsforscher der Firma Sangfor auf die Black Hat 2021 vorbereitet haben. So war der Entwicklungsaufwand für die Angreifer minimal und Angriffe können mit bereits verfügbaren Werkzeugen durchgeführt werden.

Microsoft hat am 07. Juli einen offiziellen Notfall-Patch für den Exploit veröffentlicht, der, wie sich leider bereits kurz danach herausstellte, in manchen Konfigurationen noch nicht ausreichend vor einem Angriff schützt. So bleibt einigen Unternehmen weiterhin nichts weiter übrig als sich mit Workarounds selber zu behelfen, etwa mit der Deaktivierung des Print-Spooler-Dienstes. Dies ist aber in Anbetracht seiner Funktion problematisch, da der Dienst bei sämtlichen Druckoperationen essentiell ist: Nicht nur ist er für die reibungslose Funktion physischer Drucker, sondern auch für PDF-, XPS- und OneNote-Dokumente notwendig. Für Serverbetriebssysteme wie Microsoft Server 2016 indes existieren noch keine Patches, diese sollen erst in den nächsten Tagen folgen.

Wichtig ist nun vor allem, dass Unternehmen den Überblick über ihre Endpunkte, deren Patchstände haben und zeitnah in der Lage sind, notwendige Patches auszurollen und zu installieren. Hier hilft eine Lösung für das Endpunkt-Management dabei, solche Aktualisierungen schnell und ressourcenschonend in Umlauf zu bringen. Darüber hinaus kann sie ungepatchte Endpunkte isolieren, sodass im Falle einer Kompromittierung keine Horizontalbewegungen im Unternehmensnetzwerk möglich sind. Sollte das Patchen aktuell keine Alternative sein, ist es umso wichtiger, dass Unternehmen wissen, welche Dienste aktuell laufen und dazu in der Lage sind, diese zeitnah zu stoppen.