Company Topimage

06.09.2021

Aufwachen aus dem „PrintNightmare“: Maßnahmen gegen 4 verschiedene Sicherheitslücken

Eine neue, bisher unbenannte Print Spooler-Schwachstelle beheben

Da nun eine vierte Sicherheitslücke entdeckt wurde, müssen Industrial Control Systeme (ICS) nicht nur vor den Attacken durch die drei bisher offiziell aufgelisteten CVEs aufgrund der kürzlich entdeckten Schwachstellen im Windows „Print Spooler“ geschützt werden. Der Ansturm von Print Spooler-bezogenen Problemen hat für Verwirrung gesorgt, aber ICS-Verantwortliche brauchen absolute Klarheit: denn kein Patch kann sie bisher vor dieser vierten PrintNightmare-Schwachstelle schützen, die zu diesem Zeitpunkt noch nicht einmal offiziell benannt ist. Laut einem Artikel der Website Bleeping Computer, der über diese Entdeckung berichtet, gibt es solange keine Sicherheit für Produktionsanlagen, bis die Anwender die PackagePointAndPrintServerList ihres Windows-Systems konfiguriert haben. Da Bleeping Computer festgestellt hat, dass die erste der beiden empfohlenen Abwehrmaßnahmen, nämlich das "Blockieren des ausgehenden SMB-Verkehrs an [der] Netzwerkgrenze", von cleveren Eindringlingen umgangen werden könnte, empfehlen wir ICS-Akteuren, sich stattdessen auf die zuverlässigere und bequemere Strategie der Einrichtung einer Konzernrichtlinie („Group Policy“) für sogenannte "Package Point and print - Approved servers" zu konzentrieren.

Die Konzernrichtlinie "Package Point and print - Approved servers" funktioniert wie eine Vertrauensliste („Trust List“) , die das "Point and Print" auf eine Liste zugelassener Server beschränkt.

Wenn diese Richtlinie aktiviert ist, können Benutzer, die keine Administratoren sind, keine Treiber mit „Point and Print“ installieren, es sei denn, ihr Druckserver ist ausdrücklich aufgeführt.

Die drei ursprünglichen Sicherheitslücken

Diese noch nicht benannten Sicherheitslücken mit den Signaturen CVE-2021-1675, CVE-2021-34527 und CVE-2021-34481, die wir gerade behandelt haben, beziehen sich alle auf den Windows „Print Spooler“. Auch wenn wir unseren ursprünglichen Beitrag über diese Bedrohungen bereits aktualisiert haben, möchten wir hier ausdrücklich die notwendigen Abwehrmaßnahmen für jede dieser Bedrohungen angeben, damit Anwender sie von der Liste abhaken und bestätigen können, dass ihre Ressourcen vor dieser Bedrohung geschützt sind. Um die Verwirrung durch widersprüchliche Berichte zu minimieren, haben wir Microsoft als primäre Quelle für die Definitionen der einzelnen hier beschriebenen Schwachstellen behandelt.

CVE-2021-1675

Microsoft hat erklärt, dass diese Sicherheitslücke zwar der Sicherheitslücke „PrintNightmare“ (CVE-2021-34527) ähnelt, sich aber doch von ihr unterscheidet. Patches zur Behebung dieser Schwachstelle sind hier verfügbar. Microsoft hat klargestellt, dass diese Sicherheitslücke nur lokal ausgenutzt werden kann.

CVE-2021-34527 “PrintNightmare”

In den Nachrichten wird der Begriff "PrintNightmare" derzeit auf viele verschiedene potenzielle Situationen und Vorfälle angewandt. Laut Microsoft bezieht sich "PrintNightmare" jedoch nur auf diese eine CVE. Diese Schwachstelle ermöglicht es Angreifern mit niedrigrangigem Netzwerkzugriff, Remote Code Execution (RCE) mit einer hohen Prioritätsstufe durchzuführen. "Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen", so Microsoft.

Auf der CVE-Seite von Microsoft stehen Patches zur Behebung dieses Problems zur Verfügung. Für Systeme, die nicht gepatcht werden können, empfehlen wir jedoch die folgenden Abhilfemaßnahmen:

·       Wenn Sie das Drucken vollständig deaktivieren können, ohne den Unternehmensbetrieb zu beeinträchtigen: Deaktivieren Sie den Print Spooler Service, indem Sie die folgenden Befehle in PowerShell eingeben:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

·       Wenn Sie die Möglichkeit benötigen, lokal zu drucken: Verwenden Sie die Konzernrichtlinie, um den eingehenden Remote-Druckauftrag zu deaktivieren. Dies blockiert den Remote-Angriffsvektor, indem eingehende Remote-Druckvorgänge gestoppt werden. Das lokale Drucken auf einem direkt angeschlossenen Drucker funktioniert weiterhin, aber das System kann nicht als Druckserver fungieren. Dazu müssen Sie auf Computerkonfiguration / Administrative Vorlagen / Drucker zugreifen und dort die Richtlinie "Print Spooler für Client-Verbindungen zulassen" deaktivieren.

·       Wenn Sie Print Spooler aktiviert lassen müssen oder wenn Print Spooler für die Funktion der Anlage erforderlich ist: Die folgenden IPS-Regeln können mit unserer  eigenen Lösung EdgeIPS verwendet werden, um das System zu sichern und die Fortsetzung des Druckerdienstes zu ermöglichen:

1139407 RPC Windows Print Spooler Remote Code Execution (CVE-2021-1675, CVE-2021-34527)

1139406 RPC Windows Print Spooler Entfernte Codeausführung 2006 (CVE-2021-1675, CVE-2021-34527)

CVE-2021-34481

Diese Sicherheitslücke unterscheidet sich zwar von PrintNightmare, aber wenn sie erfolgreich ausgenutzt wird, können Angreifer auf ähnliche Weise ein hohes Maß an Berechtigung nutzen, um Codes nach Belieben auszuführen. Im Gegensatz zu PrintNightmare müssen die Cyber-Angreifer jedoch die Möglichkeit haben, Codes auf einem „Opfersystem“ auszuführen, um diese Sicherheitslücke auszunutzen. Mit Stand vom 20. Juli 2021 arbeitete Microsoft immer noch an einem Patch für diese Sicherheitslücke. Workarounds für diese Schwachstelle basieren auf der Funktion "Anhalten und Deaktivieren des Print Spooler-Dienstes".

Der Windows-Print Spooler Service  wird durch Eingabe der folgenden Codezeilen in PowerShell deaktiviert:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Achten Sie an dieser Stelle auf Updates zu Schwachstellenbehebungen für Print Spooler in Netzwerken und Endgeräten am Arbeitsplatz, die hier veröffentlicht werden, sobald sie verfügbar sind.

Mit der Cybersecurity Edge-Serie von TXOne können Sie Ihr Netzwerk segmentieren, um Ihre Ressourcen zu schützen und nicht nur die genannten Sicherheitslücken verhindern, bevor sie entstehen.