Windows-Schwachstelle PrintNightmare: Noch immer Probleme
von caschy | 2 Kommentare
Die Windows-Schwachstelle PrintNightmare hält Microsoft schon ein paar Tage auf Trab. Hierbei handelt es sich um eine Sicherheitsanfälligkeit für Remotecodeausführung, die den Windows Print Spooler betrifft. Am 6. und 7. Juli wurden erste Updates veröffentlicht, die die Sicherheitslücke für alle unterstützten Windows-Versionen behoben haben, so Microsoft. Dem ist offensichtlich nicht so, denn Microsoft hat bereits erneut gewarnt. So sollen Systeme in der Standardkonfiguration, die bereits den Patch eingespielt haben, weiterhin anfällig sein – hier eine Demonstration.
Microsofts Schwachstelle läuft unter CVE-2021-34481 (Windows Print Spooler Elevation of Privilege Vulnerability) und ist hier gelistet: Es besteht eine Sicherheitsanfälligkeit durch Erhöhung der Berechtigungen, wenn der Windows Print Spooler-Dienst unsachgemäß privilegierte Dateioperationen durchführt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte beliebigen Code mit SYSTEM-Rechten ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.
- jede Person kann bis zu 5 Geräte gleichzeitig nutzen
- funktioniert auf PC, Mac, iPhone, iPad und Android-Smartphones und -Tablets
Laut Informationsseite gibt es noch keinen Patch, doch wieder einmal einen Workaround:
Determine if the Print Spooler service is running
Run the following in Windows PowerShell:
Get-Service -Name Spooler
If the Print Spooler is running or if the service is not disabled, follow these steps:
Stop and disable the Print Spooler service
If stopping and disabling the Print Spooler service is appropriate for your environment, run the following in Windows PowerShell:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Impact of workaround Stopping and disabling the Print Spooler service disables the ability to print both locally and remotely.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Das ist doch kein Workaround! Das ist einfaches Deaktivieren des Spoolers.. damit kann man dann nicht mehr drucken… wow…
danke MS
Ja, das ist so wie „Die Bremsen Ihres Autos könnten während der Fahrt ausfallen. Lösung: fahren Sie nur noch im ersten Gang.“….
Aber im Grunde müssen sich die meisten Nutzer um diesen Bug wenig Gedanken machen; der Printspooler ist nur das Vehikel, um Code mit erweiterten Rechten ausführen zu können, um den Angriff durchführen zu können, muss man entweder physischen Zugriff auf den Rechner haben oder als authentifizierter Benutzer am Server angemeldet sein.