PrintNightmare – Remote Code Execution-Lücke

Inhaltsverzeichnis

Update „PrintNightmare“ erhält eigene CVE - Offizielle Empfehlung von Microsoft veröffentlicht

Microsoft hat für die am 27.06. bekannt gewordene „Remote Code Execution“-Lücke nun eine eigene Empfehlung unter CVE-2021-34527 veröffentlicht.

Dabei handelt es sich um die Erweiterung der CVE-2021-1675, welche es einem Angreifer erlaubt mit den Rechten eines regulären User per „Local privilege escalation“ die komplette Kontrolle eines Windows-System zu übernehmen. Für diese Lücke gibt es einen Patch von Microsoft, der am 08.Juni veröffentlicht wurde.

Für die weitaus kritischere Lücke CVE-2021-34527 gibt es nach wie vor keinen offiziellen Patch, weshalb Workarounds angewendet werden müssen. Der geleakte Exploit Code erlaubt es einem regulären User innerhalb einer Active Directory Umgebung mittels „Remote code execution“ einen Windows-Server vollständig zu übernehmen. Grund dafür ist eine Schwachstelle im „Windows Print Spooler“. Dieser Dienst ist leider standardmäßig auch auf Domänen Controllern aktiviert und kann somit zur Kompromittierung der gesamten Domäne führen.

Du hast einen Sicherheitsvorfall?
Vertraue bei Auffälligkeiten unseren zertifizierten IT Forensikern.
Jetzt Anfragen

Betroffene Systeme

Microsoft Windows Server (2004, 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 20H2)

Microsoft Windows (7, 8.1, RT 8.1, 10)

Sicherheitsupdates für die erste Schwachstelle mit der CVE-2021-1675 ist unter folgendem Link verfügbar:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675

Problemstellung und Empfehlung

Hintergrund:

Windows Print Spooler ist ein Dienst innerhalb des Windows-Systems, der alle Interaktionen mit dem Netzwerk-Drucker regelt. Dieser Dienst ist über 20 Jahre alt und war durch diverse Schwachstellen schon häufiger Teil von Angriffsketten (z.B. auch bei der berühmten Malware Stuxnet).

Ursprünglich wurde diese Schwachstelle von Microsoft als reine „local privilege escalation“ betrachtet. Bei dem „Patch-Tuesday“ vom 08.06.2021 sollte die Schwachstelle gelöst werden.

Am 21.06. hat Microsoft die Schwachstelle erneut untersucht und im Nachgang die Lücke als „kritisch“ eingestuft. Es wurde bekannt gegeben, dass ein Angreifer mittels „Remote Code Execution“ bei ungepatchten Systemen die volle Kontrolle übernehmen kann.

Am 27.06. wurde vom der chinesischen Security-Unternehmen QiAnXin ein Video auf Twitter veröffentlicht, dass die Ausnutzung der Lücke zeigt. Zwei Tage später wurden technische Details zu der Lücke auf Github veröffentlicht und kurz darauf wieder gelöscht. Das hat jedoch gereicht, um den Exploit für jeden verfügbar zu machen und es werden laufend neue Versionen veröffentlicht. Es ist davon auszugehen, dass durch die Bekanntheit auch die Angriffe zunehmen werden.

Empfehlung

Zunächst sollte der von Microsoft veröffentlichte Patch eingespielt werden, um die alte Lücke zu beheben. Da aber auch gepatchte Versionen anfällig für die Remote Code Execution sind, muss bis es einen offiziellen Patch gibt, ein Workaround erfolgen.

Microsoft empfiehlt die folgenden Schritte:

Prüfung, ob der Dienst genutzt wird mittels PowerShell (als Domain Admin)

Get-Service -Name Spooler

Sofern der Dienst genutzt wird, gibt es zwei Optionen diesen abzuschalten bzw. einzuschränken:

Option 1 - Abschaltung Print Spooler Service ​

Wenn der Dienst ohne Einschränkungen ausgeschaltet werden kann, können die folgenden PowerShell-Befehle genutzt werden:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Hinweis!: Das Abschalten deaktiviert den Dienst und damit auch die Möglichkeit lokal und aus der Ferne zu drucken.

Option 2 - Deaktivierung des Fernzugriffs auf den Drucker-Dienst durch Gruppenrichtlinie

Als Alternative kann der der Dienst für Fernzugriffe via Gruppenrichtlinie eingeschränkt werden:

Im Gruppenrichtlinieneditor kann unter „Computerkonfiguration \ Administrative Vorlagen \ Drucker“

die Richtlinie: „Annahme von Clientverbindungen zum Druckspooler zulassen“ auf „Deaktiviert“ gesetzt werden.

Diese Richtlinie blockiert entfernte Anfragen, erlaubt aber noch das lokale Drucken am Gerät, sofern der Drucker direkt am PC angeschlossen ist.

Weitere Informationen sind unter use-group-policy-to-control-ad-printer zu finden

Weitere Möglichkeiten:

Das GitHub-Repository https://github.com/LaresLLC/CVE-2021-1675 zeigt aktuell bekannte Möglichkeiten den Dienst zu deaktivieren. Neben den genannten gibt es hier auch ein PowerShell-Skript zum Download, um den Dienst auch in größeren Umgebung leicht zu deaktivieren.

Entdeckung

Im grade genannten GitHub-Repository https://github.com/LaresLLC/CVE-2021-1675 sind zudem einige Wege beschrieben, wie die Ausnutzung der Schwachstellen erkannt werden können. Hier gibt es beispielsweise eine Configuration-File für Sysmon (um Systemaktivitäten zu überwachen) oder weitere Tools oder Code-Snippets für gängige Monitoring-Lösungen wie z.B. Splunk.

Generell wird empfohlen auf Fehlermeldungen zu achten, die vom „Print Spooler“ erzeugt werden. Hierbei ist die Ausführung der WerFault.exe durch spoolsv.exe oder die Generierung der Event-ID 7031 (unerwarteter Abbruch des Print Spoolers) ein Indikator.

Weitere Informationen finden Sie in den unten genannten Referenzen.