Patches verfügbar - Kritische Schwachstelle in Drucker-Spoolern von Microsoft-Systemen

Service navigation

Suche

Navigation

Patches verfügbar - Kritische Schwachstelle in Drucker-Spoolern von Microsoft-Systemen

08.07.2021 - UPDATE: Zurzeit besteht immer noch eine kritische Schwachstelle bei Drucker-Spoolern von Microsoft-Systemen. Microsoft hat nun erste Updates zur Verfügung gestellt. Das NCSC empfiehlt, die Patches umgehend aufzuspielen.

Icon: Melden Sie Sicherheitslücken beim Covid-Zertifikat

Am 8. Juni 2021 veröffentlichte Microsoft neben anderen Sicherheitsupdates Informationen und Updates zu einer Schwachstelle im Spooler (Warteschlange), welcher von Windows-Systemen zur Abarbeitung von Druckaufträgen genutzt wird.

Am 29. Juni 2021 wurde ein Exploit-Code veröffentlicht, welcher Bezug auf die oben genannte Schwachstelle nimmt. Der als «PrintNightmare» bezeichnete Exploit nutzt eine bislang unbekannte und ungepatchte Schwachstelle des Spooler-Dienstes aus. Trotz des von Microsoft bereitgestellten Updates im Juni, sind somit Angriffe auf den Spooler-Dienst weiterhin möglich.

Da unter anderem auf Domänencontrollern der Spooler-Dienst standardmässig aktiviert ist, besteht hier ein besonderes Risiko. Durch einen kompromittierten Arbeitsplatzrechner kann beispielsweise die Kontrolle über Druckserver oder Domänencontroller und folglich potentiell auch über das gesamte Netzwerk erlangt werden.

Microsoft empfehlt zur Minderung des Risikos zwei Vorgehensweisen. Informationen finden Sie auf der Website von Microsoft: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

UPDATE:

Am 7. Juli hat Microsoft erste Updates zur Verfügung gestellt.
Das NCSC empfiehlt, diese umgehend aufzuspielen und zugehörige Parameters gemäss folgenden Anweisungen zu prüfen und anzupassen:

https://support.microsoft.com/en-us/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

Das NCSC empfiehlt grundsätzlich:

  • Auf Servern, auf denen der Spooler-Dienst nicht verwendet wird, diesen total zu deaktivieren oder deren Remote-Zugang, ausser für die verwendeten Print-Server, zu unterbinden. Insbesondere Domänencontroller und weitere kritische Server sollten so geschützt werden.

  • Auf Print-Servern ein entsprechendes Monitoring einzurichten.

  • Stellen Sie ebenfalls sicher, dass die Server, auf welche man vom Internet her zugreifen kann, diesen Dienst gegen aussen nicht anbieten.

Sobald in diesem Zusammenhang ein neues Update von Microsoft verfügbar ist, sollte dieses unmittelbar geprüft und eingespielt werden.

Letzte Änderung 08.07.2021

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/printnightmare-update.html