PrintNightmare: Zielgerichtetes Handeln der Unternehmen erforderlich

PrintNightmare-Schwachstelle ermöglicht es Angreifern unter bestimmten Voraussetzungen, Schadcode mit Systemrechten auszuführen

[datensicherheit.de, 12.07.2021] „Wie zahlreiche Nachrichtenportale berichten, ist der Print-Spooler-Dienst von Microsoft anfällig für eine kritische Schwachstelle (CVE-2021-34527)“, berichtet Stefan Molls, „RVP, Risk & Security“ bei Tanium, in seiner aktuellen Stellungnahme. Diese Schwachstelle ermögliche es Angreifern unter bestimmten Voraussetzungen, Schadcode mit Systemrechten auszuführen und somit das System zu kompromittieren. Molls erläutert: „Um die Lücke erfolgreich auszunutzen, muss der Angreifer zumindest über Benutzerrechte verfügen / authentifiziert sein.“ Leider gebe es inzwischen auch schon mindesten einen bekannten Fall, bei dem diese Schwachstelle aktiv ausgenutzt worden sei – und der es bis in die Medien geschafft habe: „Bei diesem Fall handelt es sich um die Kreisverwaltung im Kreis Anhalt-Bitterfeld in Sachsen-Anhalt, bei der diese Schwachstelle genutzt wurde, um Ransomware zu verteilen. Diese Schadsoftware führte letztlich zu einem Komplettausfall der Verwaltungs-IT.“

Foto: Tanium

Stefan Molls: Unternehmen sollten wissen, welche Dienste aktuell laufen, und dazu in der Lage sein, diese zeitnah zu stoppen!

PrintNightmare-Code soll versehentlich ins Internet gelangt sein

Der Code zum Ausnutzen dieser Schwachstelle sei „versehentlich“ ins Internet gelangt, „als sich die Sicherheitsforscher der Firma Sangfor auf die ,Black Hat 2021‘ vorbereitet haben“. So sei der Entwicklungsaufwand für die Angreifer minimal gewesen und Angriffe könnten mit bereits verfügbaren Werkzeugen durchgeführt werden.
Microsoft habe am 7. Juli 2021 einen offiziellen Notfall-Patch für diesen Exploit veröffentlicht, „der, wie sich leider bereits kurz danach herausstellte, in manchen Konfigurationen noch nicht ausreichend vor einem Angriff schützt“.

Schutz vor PrintNightmare-Ausnutzung: Deaktivierung des Print-Spooler-Dienstes

So bleibe einigen Unternehmen weiterhin nichts weiter übrig, „als sich mit ,Workarounds‘ selber zu behelfen, etwa mit der Deaktivierung des Print-Spooler-Dienstes“. Dies sei aber in Anbetracht seiner Funktion problematisch, da dieser Dienst bei sämtlichen Druckoperationen essenziell sei:
„Nicht nur ist er für die reibungslose Funktion physischer Drucker, sondern auch für PDF-, XPS- und OneNote-Dokumente notwendig.“ Für Serverbetriebssysteme wie „Microsoft Server 2016“ indes existierten noch keine Patches, diese sollten erst in den nächsten Tagen folgen.

PrintNightmare mahnt Unternehmen, notwendige Patches auszurollen und zu installieren

Wichtig sei nun vor allem, dass Unternehmen den Überblick über ihre Endpunkte, d.h. deren Patch-Zustände, hätten und zeitnah in der Lage seien, „notwendige Patches auszurollen und zu installieren“. Hierzu helfe eine Lösung für das Endpunkt-Management dabei, solche Aktualisierungen schnell und ressourcenschonend in Umlauf zu bringen.
Darüber hinaus könne sie ungepatchte Endpunkte isolieren, so dass im Falle einer Kompromittierung keine Horizontalbewegungen im Unternehmensnetzwerk möglich seien. „Sollte das Patchen aktuell keine Alternative sein, ist es umso wichtiger, dass Unternehmen wissen, welche Dienste aktuell laufen, und dazu in der Lage sind, diese zeitnah zu stoppen“, betont Molls.

Weitere Informationen zum Thema:

golem.de, Anna Biselli, 08.07.2021
Anhalt-Bitterfeld: Ransomware legt Kreisverwaltung lahm

heise online, 08.07.2021
Windows-Update unvollständig: Sicherheitsforscher umgehen PrintNightmare-Patch

golem.de, Anna Biselli, 07.07.2021
Erste Patches für Windows-Sicherheitslücke / Durch ein Problem mit dem Windows-Druck-Spooler können Angreifer Code aus der Ferne ausführen. Erste Patches stehen bereit, aber noch nicht für alles

datensicherheit.de, 02.07.2021
PrintNightmare: Malwarebytes nimmt Stellung zu Microsoft-Windows-Sicherheitslücke / Ratschläge der Malwarebytes-Administratoren in aller Kürze