Kritische 0-Day-Lücke im Drucker-Spooler bedroht alle Windows-Versionen

Mit CVE-2021-34527 steckt eine kritische 0-Day-Lücke im Drucker-Spooler aller Windows-Versionen. Die Schwachstelle lässt sich über das Netzwerk ausnutzen, der Angriff ist trivial und auch die erforderlichen Berechtigungen stellen keine hohe Hürde dar. Da der Schad-Code mit Systemrechten ausgeführt wird, kann der Angreifer das komplette System übernehmen. Passend dazu heißt die Sicherheitslücke PrintNightmare.

Ganz dumm gelaufen
Wer sich die Seite zu PrintNightmare durchliest, wird feststellen, dass deren Autoren auf die Sicherheitslücke CVE-2021-1675 Bezug nehmen, welche Microsoft im Juni gestopft hatte. Und das ist das Grundproblem in diesem Dilemma, denn der voll funktionsfähige Exploit-Code ist gar nicht für CVE-2021-1675 geeignet, sondern greift eine schlimmere und bis dato unbekannte Schwachstelle, nämlich CVE-2021-34527, an. Die Autoren hatten sich schlicht und einfach geirrt und die Katze zu früh aus dem Sack gelassen. Ursprünglich hatte man die Veröffentlichung erst für die Sicherheitskonferenz Black Hat im August 2021 geplant.

Nur geringe Hürden
Wie Microsoft berichtet, funktioniert der Angriff bei allen Betriebssystemen von Windows 7 bis Windows 10 Version 21H1 inklusive der Server. Die einzige Hürde besteht darin, dass ein autorisierter Benutzer den Code ausführen muss. Im Klartext bedeutet dies allerdings, dass bereits ein ganz normaler Benutzer mit Druckrechten den Code über seinen Webbrowser auslösen kann. Alternativ kann der Angreifer eine weitere Sicherheitslücke missbrauchen, um den Schad-Code mit einfachen Benutzerrechten zu starten, sich mit diesem Code Systemrechte zu verschaffen und den PC oder Server komplett zu übernehmen. Remote-Angriffe bedrohen all jene Systeme, welche Client-Verbindungen zum Druckspooler zulassen.

Noch kein Patch
Bisher gibt es noch keinen Flicken, der CVE-2021-34527 abdichtet. Daher schützt zunächst nur die Holzhammermethode, soll heißen der Dienst Drucker-Spooler muss deaktiviert werden. Dazu öffnet man die PowerShell und gibt die folgenden Befehle ein:

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

Nun ist das Drucken aus der Ferne (Remote) ebenso deaktiviert wie der lokale Zugriff auf die Drucker. In Firmennetzen dürfte dies keine sinnvolle Option sein, daher kann man auch gezielt die Remote-Zugriffe lahmlegen. Über den Editor für lokale Gruppenrichtlinien findet man unter Administrative Vorlagen auch jene für Drucker. Die problematische Richtlinie heißt Annahme von Clientverbindungen zum Druckspooler zulassen. Ist sie aktiv, sollte man sie ausschalten.

Beide Notlösungen sind nur bedingt praktikabel, aber notwendig. Unsere Empfehlung: Den Dienst Drucker-Spooler wie oben beschrieben deaktivieren und nur bei Bedarf starten. Zum Starten des Dienstes gibt man in der PowerShell folgenden Befehl ein:

Start-Service -Name Spooler -Force

Nach dem Drucken wird der Dienst dann wieder angehalten:

Stop-Service -Name Spooler -Force

Ist das Problem irgendwann behoben, darf der Dienst auch wieder automatisch starten. Der passende Befehl lautet:

Set-Service -Name Spooler -StartupType Auto

Wir hoffen, dass diese Tipps Euch sicher durch die kommenden Tage bringen werden.