PrintNightmare: Flicken nur mit Standardeinstellungen sicher

Meldung von doelf, Montag der 12.07.2021, 14:40:17 Uhr

logo

Die inzwischen geschlossene 0-Day-Lücke PrintNightmare ist laut Microsoft ausreichend abgesichert. Hieran hatten Sicherheitsforscher Zweifel geäußert, doch Microsoft sieht das Problem in unsicheren Konfigurationseinstellungen. Aber auch abseits der Standardeinstellungen bereitet der Patch noch Probleme.

Bekannte Probleme
So verweigern bestimmte Drucker unterschiedlicher Hersteller ihren Dienst. Im Rahmen der bekannten Probleme werden zwar keine konkreten Modelle genannt, doch es soll sich primär um Bon- und Etikettendrucker mit USB-Verbindung handeln. Ein Known Issue Rollback (KIR) stellt deren Benutzbarkeit wieder her, zudem beugt eine spezielle Gruppenrichtlinie dem Fehler vor.

Wird der PrintNightmare-Patch in ein ISO-Abbild integriert, ohne dass zuvor das Standalone Servicing Stack Update (SSU) vom 29. März 2021 oder später installiert wurde, führt dies zur Entfernung des Internetbrowsers Microsoft Edge Legacy, ohne dass dessen Nachfolger dabei installiert wird. Die Lösung besteht demnach in der Verwendung eines aktuellen SSU.

Ein Fehler in der Funktion ImmGetCompositionString() sorgt für Probleme mit Microsofts Japanese Input Method Editor (IME). Dies führt dazu, dass Apps, welche dies unterstützen, Kanji-Zeichen nicht in das korrekte Furigana-Zeichen umwandeln können. Microsoft arbeitet an dem Bug, doch zunächst führt kein weg um eine manuelle Eingabe der Furigana-Zeichen herum.

Angreifbare Konfigurationen
Sicherheitsexperten der Carnegie Mellon University in Pittsburgh (USA) hatten festgestellt, dass Microsofts Patch nicht greift, wenn der Wert NoWarningNoElevationOnInstall in der Registry einen anderen Wert als 0 hat. Dieser Wert wird von der Point and Print-Technologie, die Microsoft mit Windows 2000 eingeführt hatte, genutzt. Point and Print ermöglicht die Nutzung von entfernten Druckern durch die Bereitstellung von Treibern und Konfigurationsinformationen direkt über den Druck-Server und kommt daher primär in Unternehmen und Behörden zum Einsatz. Eine lokale Einrichtung des Druckers mit Hilfe von Installationsmedien erübrigt sich hierbei.

In Redmond hält man dieses Verhalten des Patches für normal. Administratoren sollten sicherstellen, dass die Schlüssel NoWarningNoElevationOnInstall und UpdatePromptSettings entweder nicht existieren oder aber den DWORD-Wert 0 haben. Alles andere wertet Microsoft als unsichere Konfiguration und weist jegliche Verantwortung von sich.

Über PrintNightmare
CVE-2021-1675 bzw. PrintNightmare ist eine kritische 0-Day-Lücke im Drucker-Spooler aller Windows-Versionen, welche das Ausführen von Schadcode mit Systemrechten ermöglicht. Der Fehler lässt sich über das Netzwerk ausnutzen, der Angriff ist trivial und auch die erforderlichen Berechtigungen stellen keine hohe Hürde dar. Ein Angreifer muss lediglich dafür sorgen, dass ein autorisierter Benutzer den Code ausführt. Im Klartext bedeutet dies, dass bereits ein ganz normaler Benutzer mit Druckrechten den Code über seinen Webbrowser auslösen kann. Alternativ kann der Angreifer eine weitere Sicherheitslücke missbrauchen, um den Schad-Code mit einfachen Benutzerrechten zu starten, sich mit diesem Code Systemrechte zu verschaffen und den PC oder Server komplett zu übernehmen. Remote-Angriffe bedrohen all jene Systeme, welche Client-Verbindungen zum Druckspooler zulassen.

Ganz dumm gelaufen
Wer sich die Seite zu PrintNightmare durchliest, wird feststellen, dass deren Autoren auf die Sicherheitslücke CVE-2021-1675 Bezug nehmen, welche Microsoft im Juni 2021 gestopft hatte. Und das ist das Grundproblem in diesem Dilemma, denn der voll funktionsfähige Exploit-Code ist gar nicht für CVE-2021-1675 geeignet, sondern greift eine schlimmere und bis dato unbekannte Schwachstelle, nämlich CVE-2021-34527, an. Die Autoren hatten sich schlicht und einfach geirrt und die Katze zu früh aus dem Sack gelassen. Ursprünglich hatte man die Veröffentlichung erst für die Sicherheitskonferenz Black Hat im August 2021 geplant.

Der Patch ist da
Am vergangenen Dienstag, also genau eine Woche vor dem geplanten Patch-Day, hatte Microsoft mit der Bereitstellung von Sicherheits-Updates begonnen. Zunächst musste man diese manuell über den Windows Update-Katalog herunterladen, die jeweiligen Download-Links hat Microsoft in der Meldung zu CVE-2021-34527 eingefügt. Kurze Zeit später stellte Microsoft die Flicken auch über Windows Update bereit. Für ältere Betriebssysteme wie Windows 7 stehen zwei Varianten zur Auswahl: Das komplette monatliche Update-Paket (Monthly Rollup) oder ausschließlich der Sicherheitsflicken (Security Only). Die Installation unter Windows 7 sowie Windows Server 2008 und 2008 R2 funktioniert nur, wenn man einen gültigen Service-Vertrag mit Microsoft hat. Wichtig: Der Patch wird auch dann benötigt, wenn am PC gar kein Drucker angeschlossen ist!

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]