Microsoft hat für die am 27.06. bekannt gewordene „Remote Code Execution“-Lücke nun eine eigene Empfehlung unter CVE-2021-34527 veröffentlicht.
Dabei handelt es sich um die Erweiterung der CVE-2021-1675, welche es einem Angreifer erlaubt mit den Rechten eines regulären User per „Local privilege escalation“ die komplette Kontrolle eines Windows-System zu übernehmen. Für diese Lücke gibt es einen Patch von Microsoft, der am 08.Juni veröffentlicht wurde.
Für die weitaus kritischere Lücke CVE-2021-34527 gibt es nach wie vor keinen offiziellen Patch, weshalb Workarounds angewendet werden müssen. Der geleakte Exploit Code erlaubt es einem regulären User innerhalb einer Active Directory Umgebung mittels „Remote code execution“ einen Windows-Server vollständig zu übernehmen. Grund dafür ist eine Schwachstelle im „Windows Print Spooler“. Dieser Dienst ist leider standardmäßig auch auf Domänen Controllern aktiviert und kann somit zur Kompromittierung der gesamten Domäne führen.
Microsoft Windows Server (2004, 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 20H2)
Microsoft Windows (7, 8.1, RT 8.1, 10)
Sicherheitsupdates für die erste Schwachstelle mit der CVE-2021-1675 ist unter folgendem Link verfügbar:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675
Windows Print Spooler ist ein Dienst innerhalb des Windows-Systems, der alle Interaktionen mit dem Netzwerk-Drucker regelt. Dieser Dienst ist über 20 Jahre alt und war durch diverse Schwachstellen schon häufiger Teil von Angriffsketten (z.B. auch bei der berühmten Malware Stuxnet).
Ursprünglich wurde diese Schwachstelle von Microsoft als reine „local privilege escalation“ betrachtet. Bei dem „Patch-Tuesday“ vom 08.06.2021 sollte die Schwachstelle gelöst werden.
Am 21.06. hat Microsoft die Schwachstelle erneut untersucht und im Nachgang die Lücke als „kritisch“ eingestuft. Es wurde bekannt gegeben, dass ein Angreifer mittels „Remote Code Execution“ bei ungepatchten Systemen die volle Kontrolle übernehmen kann.
Am 27.06. wurde vom der chinesischen Security-Unternehmen QiAnXin ein Video auf Twitter veröffentlicht, dass die Ausnutzung der Lücke zeigt. Zwei Tage später wurden technische Details zu der Lücke auf Github veröffentlicht und kurz darauf wieder gelöscht. Das hat jedoch gereicht, um den Exploit für jeden verfügbar zu machen und es werden laufend neue Versionen veröffentlicht. Es ist davon auszugehen, dass durch die Bekanntheit auch die Angriffe zunehmen werden.
Zunächst sollte der von Microsoft veröffentlichte Patch eingespielt werden, um die alte Lücke zu beheben. Da aber auch gepatchte Versionen anfällig für die Remote Code Execution sind, muss bis es einen offiziellen Patch gibt, ein Workaround erfolgen.
Microsoft empfiehlt die folgenden Schritte:
Prüfung, ob der Dienst genutzt wird mittels PowerShell (als Domain Admin)
Get-Service -Name Spooler
Sofern der Dienst genutzt wird, gibt es zwei Optionen diesen abzuschalten bzw. einzuschränken:
Wenn der Dienst ohne Einschränkungen ausgeschaltet werden kann, können die folgenden PowerShell-Befehle genutzt werden:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Hinweis!: Das Abschalten deaktiviert den Dienst und damit auch die Möglichkeit lokal und aus der Ferne zu drucken.
Als Alternative kann der der Dienst für Fernzugriffe via Gruppenrichtlinie eingeschränkt werden:
Im Gruppenrichtlinieneditor kann unter „Computerkonfiguration \ Administrative Vorlagen \ Drucker“
die Richtlinie: „Annahme von Clientverbindungen zum Druckspooler zulassen“ auf „Deaktiviert“ gesetzt werden.
Diese Richtlinie blockiert entfernte Anfragen, erlaubt aber noch das lokale Drucken am Gerät, sofern der Drucker direkt am PC angeschlossen ist.
Weitere Informationen sind unter use-group-policy-to-control-ad-printer zu finden
Im grade genannten GitHub-Repository https://github.com/LaresLLC/CVE-2021-1675 sind zudem einige Wege beschrieben, wie die Ausnutzung der Schwachstellen erkannt werden können. Hier gibt es beispielsweise eine Configuration-File für Sysmon (um Systemaktivitäten zu überwachen) oder weitere Tools oder Code-Snippets für gängige Monitoring-Lösungen wie z.B. Splunk.
Generell wird empfohlen auf Fehlermeldungen zu achten, die vom „Print Spooler“ erzeugt werden. Hierbei ist die Ausführung der WerFault.exe durch spoolsv.exe oder die Generierung der Event-ID 7031 (unerwarteter Abbruch des Print Spoolers) ein Indikator.
Weitere Informationen finden Sie in den unten genannten Referenzen.
Wir verwenden Cookies, und Google reCAPTCHA, das Google Fonts lädt und mit Google-Servern kommuniziert. Durch die weitere Nutzung unserer Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu.