Die PrintNightmare-Schwachstellen im Windows Drucker-Spooler-Dienst waren Sicherheitslücken, die es Angreifern ermöglichen konnten, Schadcode auf einem System auszuführen. Microsoft hat Patches veröffentlicht, um diese Schwachstellen zu beheben. Um das eigene System zu schützen, sollte man die folgenden Schritte hier im Ratgeber befolgen.
Angriffsziel Windows Print Spooler und physische Drucker
Von einem Sicherheitsstandpunkt aus betrachtet sind der Windows Print Spooler und Drucker im Allgemeinen schon seit vielen Jahren ein attraktives Angriffsziel. Der Stuxnet-Wurm, der im Jahr 2010 gegen iranische Atomanlagen eingesetzt wurde, machte sich eine Schwachstelle in diesem Dienst zunutze, um Privilegien zu erweitern und Malware über das Netzwerk zu verbreiten. Im Jahr 2020 wurde dieselbe Schwachstelle im Print Spooler erneut aufgedeckt, als Forscher neue Methoden zur Ausnutzung identifizierten. In Verbindung mit der Tatsache, dass Drucker allgemein als anfällig für Hackerangriffe gelten, stellt sich die Frage, ob es vielleicht an der Zeit ist, ernsthaft über den Übergang zu einer papierlosen Umgebung nachzudenken.
Die Sicherheitslücke im Print Spooler, die im Juni 2021 aufkam, wurde durch Microsofts Patch Tuesday im selben Monat bekannt, welcher einen Patch für CVE 2021-1675 enthielt. Anfänglich wurde diese Schwachstelle von Microsoft als eine zur Privilegienerweiterung eingestuft, deren Ausnutzung damals als „weniger wahrscheinlich“ betrachtet wurde, mit einem CVSS-Wert von 6.8 (mittleres Risiko). Am 21. Juni aktualisierte Microsoft diese CVE, um Remote Code Execution einzuschließen, wodurch der CVSS-Score auf 7.8 erhöht wurde (hohes Risiko).
Einige Tage später tauchte auf GitHub ein Proof-of-Concept (PoC)-Exploit-Code auf. Obwohl dieser Code schnell offline genommen wurde, wurde er bereits mehrmals dupliziert. Am 30. Juni wurde klar, dass der Patch nicht ausreichend war und selbst vollständig gepatchte Systeme immer noch anfällig für die Ausführung von Remote Code und die Eskalation von Rechten auf SYSTEM waren. Der ursprüngliche Exploit-Code wurde angepasst, wodurch der Patch nur begrenzt wirksam wurde.
Am 1. Juli stellte Microsoft eine neue Sicherheitslücke, CVE 2021-34527, fest (Patch veröffentlicht am 6. Juli 2021). Die Sicherheitslücke für die Ausführung von Remote Code im Print Spooler basiert auf dem Aufruf der Funktion „RpcAddPrinterDriver“ im Print Spooler-Dienst. Diese Funktion ermöglicht es Clients, beliebige DLL-Dateien als Druckertreiber hinzuzufügen und sie im Kontext des SYSTEM-Benutzers (dem Kontext des Spooler-Dienstes) zu laden. Ursprünglich wurde diese Funktion entwickelt, um Benutzern die Möglichkeit zu geben, Drucker aus der Ferne zu aktualisieren, beispielsweise für IT-Mitarbeiter, die einen neuen Bürodrucker aus der Ferne installieren.
Ein logischer Fehler in dieser Funktion ermöglicht jedoch jedem Benutzer, eine eigene unsignierte DLL in den Prozess einzufügen und somit die Authentifizierung oder Validierung der Datei zu umgehen.
Hierauf sollte man achten
Um die PrintNightmare-Schwachstellen zu beseitigen, sollte man folgende Maßnahmen ergreifen:
Sicherheitsupdates installieren
Es ist wichtig, sicherzustellen, dass das Betriebssystem auf dem neuesten Stand ist, indem man alle verfügbaren Sicherheitsupdates und Patches von Microsoft installiert. Dies umfasst insbesondere die Patches, die speziell für die Behebung der PrintNightmare-Schwachstellen veröffentlicht wurden. Hierzu gehört beispielsweise der Patch für CVE 2021-34527.
Deaktivieren des Drucker-Spooler-Dienstes (optional)
In Fällen, in denen man vorübergehend auf den Drucker-Spooler-Dienst verzichten kann, könnte es eine vorübergehende Lösung sein, diesen Dienst zu deaktivieren. Zu beachten ist jedoch, dass dies den Druckbetrieb beeinträchtigen kann.
Das Netzwerk überwachen und die Ereignisprotokolle
Man sollte das Netzwerk und die Ereignisprotokolle im Auge behalten, um verdächtige Aktivitäten zu identifizieren. Ein proaktives Monitoring kann dazu beitragen, Angriffe frühzeitig zu erkennen.
Firewall-Regeln überprüfen
Man sollte die Firewall-Einstellungen überprüfen, um sicherzustellen, dass nur notwendige Ports und Dienste geöffnet sind. Dies hilft, unberechtigten Zugriff zu beschränken.
Sicherheitssoftware verwenden
Es lohnt sich, eine zuverlässige Antiviren- und Anti-Malware-Software zu installieren, um das System vor schädlichen Dateien zu schützen.
Best Practices für Sicherheit umsetzen
Bewährte Sicherheitspraktiken sollten implementiert werden, wie die Verwendung von starken Passwörtern, regelmäßige Sicherheitsüberprüfungen und die Einschränkung von Benutzerrechten, um das Risiko von Angriffen zu minimieren.
Bewusstsein für Benutzer schärfen
Die Benutzer sollten für Phishing-Angriffe sensibilisiert werden. Verdächtige E-Mails und Links sollte nicht geöffnet werden.
Tipps bei weiteren Druckerproblemen
Hier findet man weitere hilfreiche Themen:
- Druckerarten Übersicht
- Druckerprobleme beheben
- Drucker hat angehalten
- Drucker ist im Status "offline"
- Drucker druckt nicht mehr
- Drucker pausiert
- Drucker zieht das Papier nicht ein
- Papierstau beheben
- Drucker wird nicht erkannt
- Testseite drucken
- Drucker kalibrieren
- Druckerpatrone ist leer
- Toner ist leer
