02.07.2021 - Zurzeit besteht eine kritische Schwachstelle bei Drucker-Spoolern von Microsoft-Systemen. Trotz den von Microsoft zur Verfügung gestellten Updates Anfang Juni, kann die Schwachstelle mittels dem als «PrintNightmare» bezeichneten Exploit ausgenutzt werden. Das NCSC empfiehlt dringend, den Drucker-Spooler-Dienst auf Servern, die nicht zum Drucken gebraucht werden, abzuschalten.
Am 8. Juni 2021 veröffentlichte Microsoft neben anderen Sicherheitsupdates Informationen und Updates zu einer Schwachstelle im Spooler (Warteschlange), welcher von Windows-Systemen zur Abarbeitung von Druckaufträgen genutzt wird.
Am 29. Juni 2021 wurde ein Exploit-Code veröffentlicht, welcher Bezug auf die oben genannte Schwachstelle nimmt. Der als «PrintNightmare» bezeichnete Exploit nutzt eine bislang unbekannte und ungepatchte Schwachstelle des Spooler-Dienstes aus. Trotz des von Microsoft bereitgestellten Updates im Juni, sind somit Angriffe auf den Spooler-Dienst weiterhin möglich.
Da unter anderem auf Domänencontrollern der Spooler-Dienst standardmässig aktiviert ist, besteht hier ein besonderes Risiko. Durch einen kompromittierten Arbeitsplatzrechner kann beispielsweise die Kontrolle über Druckserver oder Domänencontroller und folglich potentiell auch über das gesamte Netzwerk erlangt werden.
Microsoft empfehlt zur Minderung des Risikos zwei Vorgehensweisen. Informationen finden Sie auf der Website von Microsoft: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Das NCSC empfiehlt:
- Auf Servern, auf denen der Spooler-Dienst nicht verwendet wird, diesen total zu deaktivieren oder deren Remote-Zugang, ausser für die verwendeten Print-Server, zu unterbinden. Insbesondere Domänencontroller und weitere kritische Server sollten so geschützt werden.
- Auf Print-Servern ein entsprechendes Monitoring einzurichten.
- Stellen Sie ebenfalls sicher, dass die Server, auf welche man vom Internet her zugreifen kann, diesen Dienst gegen aussen nicht anbieten.
Sobald in diesem Zusammenhang ein neues Update von Microsoft verfügbar ist, sollte dieses unmittelbar geprüft und eingespielt werden.
Letzte Änderung 02.07.2021
