DFN-CERT

Advisory-Archiv

2021-1437: PrintNightmare, Microsoft Windows: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit den Rechten des Systems

Historie:

Version 1 (2021-07-02 11:55)
Neues Advisory
Version 2 (2021-07-05 12:49)
Der Hersteller aktualisiert den Sicherheitshinweis und gibt an, dass als Alternative zur Deaktivierung der Druckerfunktion bestimmte Gruppenmitgliedschaften geprüft werden sollten. Es handelt sich dabei um Gruppen, die beispielsweise aus Gründen der Rückwärtskompatibilität die Gruppen 'Authenticated Users' oder 'Domain Users' beinhalten, die die Ausnutzung der Schwachstelle für andere Nutzer der Domäne ermöglichen. Die Schwachstelle ist unter dem Namen PrintNightmare bekannt.
Version 3 (2021-07-07 09:09)
Microsoft aktualisiert den Sicherheitshinweis zu CVE-2021-34527 anlässlich der Veröffentlichung von Sicherheitsupdates für verschiedene Betriebssysteme. Aktuell stehen die Sicherheitsupdates für Windows 10 Version 1607, Windows Server 2016 und Windows Server 2012 noch aus. Der Hersteller veröffentlicht zusätzliche Hinweise, die bei der Detektion von Angriffsaktivitäten helfen können. Die Hinweise werden für Microsoft 365 Defender veröffentlicht, die zugrundeliegende Logik kann auch für andere Produkte übernommen werden.
Version 4 (2021-07-08 09:30)
Microsoft aktualisiert den Sicherheitshinweis zu CVE-2021-34527 anlässlich der Veröffentlichung von Sicherheitsupdates für Windows Server 2012, Windows Server 2016 und Windows 10, Version 1607. Damit stehen nun für alle unterstützten Versionen von Windows Sicherheitsupdates zur Verfügung, deren schnellstmögliche Installation dringend empfohlen wird.
Version 5 (2021-07-09 13:52)
Wie das CERT Coordination Center der Carnegie Mellon University berichtet, ist der von Microsoft veröffentlichte Patch nicht ausreichend, um die Schwachstelle vollständig zu beheben, wenn im Fall von 'Point and Print' die Option 'NoWarningNoElevationOnInstall' auf einen Wert ungleich Null gesetzt ist.
Version 6 (2021-07-16 11:38)
Microsoft weist darauf hin, dass das Sicherheitsupdate des Patch-Tags vom 13. Juli den vorher am 6. und 7. Juli veröffentlichten Notfall-Patch beinhaltet. Wer also die Sicherheitsupdates dieses Patch-Tags eingespielt hat, braucht den Notfall-Patch nicht zusätzlich einzuspielen.
Version 7 (2023-06-14 09:03)
Microsoft hat Windows 10 Version 21H2, Windows 11 Version 21H2, Windows 11 Version 22H2 und Windows Server 2022 als betroffen von dieser Schwachstelle ergänzt, für die ebenfalls Sicherheitsupdates zur Verfügung stehen, nach deren Installation die weiteren Anweisungen befolgt werden sollen. Nicht mehr unterstützte Windows-Versionen wurden aus der Tabelle entfernt.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer mit niedrigen Privilegien kann die Schwachstelle im Windows Print Spooler aus der Ferne ausnutzen, um beliebigen Programmcode mit den Rechten des Systems auszuführen. Ohne Authentifizierung dem Print Spooler gegenüber kann die Schwachstelle zur Eskalation von Privilegien ausgenutzt werden.

Microsoft gibt bekannt, dass zusätzlich zu der mit dem Juni-Patchtag behobenen Schwachstelle CVE-2021-1675 eine weitere Schwachstelle im Windows Print Spooler existiert (CVE-2021-34527).

Die Schwachstelle wird von Microsoft noch auf bestimmte Details untersucht. Es ist klar, dass die Schwachstelle öffentlich bekannt ist, bereits ausgenutzt wird und viele - möglicherweise alle - Windows-Versionen seit Windows 7 betroffen sind. Für die Schwachstelle gibt es noch kein Sicherheitsupdate, so dass die einzige Möglichkeit der Mitigation aktuell darin besteht, den Print Spooler-Dienst vorerst zumindest für Remote-Zugriffe abzuschalten. Es wird erwartet, dass ein Sicherheitsupdate mit dem Patchtag im Juli veröffentlicht wird.

Microsoft empfiehlt generell, den Print Spooler-Dienst auf Domain-Controllern und Active Directory Admin-Systemen zu deaktivieren.

Schwachstellen:

CVE-2021-34527

Schwachstelle in Microsoft Windows ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Systems

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.