Vorgestern patchte Microsoft mit den Patchday-Updates auch erneut die sogenannte PrintNightmare-Sicherheitslücke in Windows-Systemen. Und schon demonstriert der Sicherheitsforscher Benjamin Delpy eine neue Methode, wie Angreifer Windows über eine Schwachstelle in der Druckerverwaltung angreifen könnten. BleepingComputer hat das überprüft und bestätigt. Bisher gibt es noch keinen Patch dagegen, so dass sich die, Systeme weiterhin nur über Workarounds schützen lassen.
Die PrintNightmare-Lücken beschäftigen Microsoft schon seit Anfang Juli. Durch die Installation eines präparierten Treibers könnten sich Angreifer System-Rechte verschaffen.
PrintNightmare vorgestern gepatcht – und schon wieder offen
Kurz nach dem Patchday hat Microsoft jetzt Infos zu einer weiteren Schwachstelle (CVE-2021-36958, Risiko: “hoch”) veröffentlicht. Durch erfolgreiches Ausnutzen der Lücke könnten sich lokale Angreifer wieder System-Rechte verschaffen. Mit dieser gefährlichen Berechtigung könnten sie zum Beispiel eigene Programme installieren oder neue Accounts anlegen – was ein solches System in der Regel vollständig kompromittiert.
Welche Windows-Systeme konkret betroffen sind, ist noch nicht bekannt. Die früheren PrintNightmare-Lücken bedrohten alle Windows-Ausgaben inklusive Windows Server.
Bis zum Patch Printspooler wieder deaktivieren
Einen Sicherheitspatch gegen die neue Lücke im Drucksystem hat Microsoft zwar schon angekündigt, aber wann der erscheint, ist noch nicht klar. Microsoft verweist dazu auf den monatlichen Patchday – obwohl der ja erst vor zwei Tagen stattgefunden hat. Schlimmstenfalls müssen Admins fast einen Monat lang warten. Auf die erste PrintNightmare-Lücke reagierte Microsoft noch mit einen außerplanmäßigen Notfallpatch…
Bis zum Erscheinen des Updates müssen die Admins ihre Systeme erneut dadurch absichern, dass sie den Print-Spooler-Service deaktivieren. Danach kann man aber nicht mehr lokal oder über das Netzwerk drucken.
Get-Service -Name Spooler
Wenn der Service läuft, deaktivieren Sie ihn mit den Befehlen:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Deaktivierung über Gruppenrichtlinien
Alternativ können Sie den Druckdienst auch über Gruppenrichtlinien deaktivieren, was den Vorteil hat, dass man danach noch lokal drucken kann. Das System arbeitet dann allerdings nicht mehr als Drucker-Server.
Dazu geben Sie nach Druck auf die Windows-Taste “gpedit.msc” ein, um den lokalen Gruppenrichtlinien-Editor zu starten. Unter “Computerkonfiguration”, “Administrative Vorlagen”, “Drucker” gibt es den Punkt “Annahme von Client-Verbindungen zum Druckspooler zulassen”. Mit einem Rechtsklick wählen Sie “Bearbeiten” und dann die Option “Deaktiviert” aus.
Damit diese Gruppenrichtlinie auch aktiviert wird, muss der Dienst noch neu gestartet werden. Nach erneutem Druck auf die Windows-Taste geben Sie wieder”services.msc” ein, um die Diensteinstellungen zu öffnen. Dann suchen Sie den Eintrag “Druckerwarteschlange”, klicken zunächst ihn an und danach in der linken Spalte “Den Dienst neu starten”.