Microsoft hat Updates gegen PrintNightmare veröffentlicht

Microsoft hat gestern mit der Veröffentlichung von Sicherheits-Updates, welche eine kritische 0-Day-Lücke im Drucker-Spooler aller Windows-Versionen stopfen, begonnen. Die Sicherheitslücke CVE-2021-1675 bzw. PrintNightmare, welche das Ausführen von Schadcode mit Systemrechten ermöglicht, lässt sich über das Netzwerk ausnutzen, der Angriff ist trivial und auch die erforderlichen Berechtigungen stellen keine hohe Hürde dar.

Ganz dumm gelaufen
Wer sich die Seite zu PrintNightmare durchliest, wird feststellen, dass deren Autoren auf die Sicherheitslücke CVE-2021-1675 Bezug nehmen, welche Microsoft im Juni gestopft hatte. Und das ist das Grundproblem in diesem Dilemma, denn der voll funktionsfähige Exploit-Code ist gar nicht für CVE-2021-1675 geeignet, sondern greift eine schlimmere und bis dato unbekannte Schwachstelle, nämlich CVE-2021-34527, an. Die Autoren hatten sich schlicht und einfach geirrt und die Katze zu früh aus dem Sack gelassen. Ursprünglich hatte man die Veröffentlichung erst für die Sicherheitskonferenz Black Hat im August 2021 geplant.

Nur geringe Hürden
Wie Microsoft berichtet, funktioniert der Angriff bei allen Betriebssystemen von Windows 7 bis Windows 10 Version 21H1 inklusive der Server. Die einzige Hürde besteht darin, dass ein autorisierter Benutzer den Code ausführen muss. Im Klartext bedeutet dies allerdings, dass bereits ein ganz normaler Benutzer mit Druckrechten den Code über seinen Webbrowser auslösen kann. Alternativ kann der Angreifer eine weitere Sicherheitslücke missbrauchen, um den Schad-Code mit einfachen Benutzerrechten zu starten, sich mit diesem Code Systemrechte zu verschaffen und den PC oder Server komplett zu übernehmen. Remote-Angriffe bedrohen all jene Systeme, welche Client-Verbindungen zum Druckspooler zulassen.

Der Patch ist da
Am gestrigen Dienstag, genau eine Woche vor dem geplanten Patch-Day, hat Microsoft mit der Bereitstellung von Sicherheits-Updates begonnen. Zunächst musste man diese manuell über den Windows Update-Katalog herunterladen, die jeweiligen Download-Links hat Microsoft in der Meldung zu CVE-2021-34527 eingefügt. Für ältere Betriebssysteme wie Windows 7 stehen dabei zwei Varianten zur Auswahl: Das komplette monatliche Update-Paket (Monthly Rollup) oder ausschließlich der Sicherheitsflicken (Security Only). Zur Stunde fehlen noch die passenden Flicken für Windows 10 Version 1607 sowie die Windows Server 2016 und 2012, diese will Microsoft in Kürze nachliefern.

Inzwischen finden zumindest aktuelle Installationen von Windows 10, also die Versionen 21H1, 20H2 und 2004, das entsprechende Update KB5004945 auch bei einer Suche über Windows Update. Sollte auf einer anderen Windows-Version kein außerplanmäßiges Update gefunden werden, empfehlen wir den manuellen Download über den Windows Update-Katalog, denn mit PrintNightmare ist nicht zu spaßen. Und das gilt auch für PCs ohne Drucker!