{"id":27047,"date":"2021-07-12T13:00:28","date_gmt":"2021-07-12T11:00:28","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27047"},"modified":"2022-05-05T14:20:55","modified_gmt":"2022-05-05T12:20:55","slug":"printnightmare-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/printnightmare-vulnerability\/27047\/","title":{"rendered":"PrintNightmare \u2013 Schwachstelle im Druckerspooler von Windows"},"content":{"rendered":"

Ende Juni besprachen Sicherheitsforscher eine Schwachstelle im Druckerspooler (auf Englisch Print Spooler) in Windows, die sie PrintNightmare nannten. Die Schwachstelle sollte mit dem am Patch-Dienstag ver\u00f6ffentlichten Patch behoben werden\u00a0\u2013 das war auch der Fall, aber es stellte sich heraus, dass es eine zweite Sicherheitsl\u00fccke gab: Die Sicherheitsl\u00fccke CVE-2021-1675<\/a> wurde geschlossen, aber CVE-2021-34527<\/a> blieb offen. Die Ausnutzung der Schwachstellen auf ungepatchten Computern oder Servern k\u00f6nnte Angreifern die vollst\u00e4ndige Kontrolle \u00fcber die anf\u00e4lligen Systeme erm\u00f6glichen, weil der Druckspoolerdienst von Microsoft in Windows-Systemen standardm\u00e4\u00dfig aktiviert ist.<\/p>\n

Microsoft verwendet den Namen PrintNightmare f\u00fcr CVE-2021-34527 aber nicht f\u00fcr CVE-2021-1675, w\u00e4hrend viele andere den Namen f\u00fcr beide Sicherheitsl\u00fccken verwenden.<\/p>\n

Unsere Experten haben beide Schwachstellen sorgf\u00e4ltig untersucht und sichergestellt, dass[kesb placeholder]Kasperskys Sicherheitsl\u00f6sungen[kesb placeholder], die sowohl \u00fcber Technologie zur Exploit-Pr\u00e4vention<\/a> als auch \u00fcber verhaltensbasierte Erkennungsfunktionen<\/a> verf\u00fcgen, m\u00f6gliche Exploit-Versuche erfolgreich abwehren k\u00f6nnen.<\/p>\n

Warum PrintNightmare gef\u00e4hrlich ist<\/h2>\n

PrintNightmare wird aus zwei Gr\u00fcnden als besonders gef\u00e4hrlich eingestuft. Erstens: Da der Druckspoolerdienst von Microsoft standardm\u00e4\u00dfig auf allen windows-basierten Systemen aktiviert ist, einschlie\u00dflich Dom\u00e4nencontroller und Computer mit Systemverwalterrechten, sind alle diese Computer anf\u00e4llig.<\/p>\n

Zweitens: F\u00fchrte ein Missverst\u00e4ndnis (und vielleicht es auch einfach ein Fehler) bei Forscherteams dazu, dass der Proof-of-Concept (PoC)-Code<\/a> f\u00fcr den Exploit von PrintNightmare online ver\u00f6ffentlicht wurde<\/a>. Das geschah, weil sich die Forscher recht sicher waren, dass das Problem bereits im Juni durch den Patch von Microsoft behoben wurde und aus diesem Grund teilten sie ihre Forschungsergebnisse mit der Experten-Community. Allerdings war das nicht der Fall und die Schwachstelle stellte weiterhin eine Gefahr dar. Die vollst\u00e4ndige technische Beschreibung mit PoC-Code wurde in k\u00fcrzester Zeit gel\u00f6scht, aber Dritte hatten bereits Kopien davon gemacht. Deshalb gehen die Experten von Kaspersky davon aus, dass die Exploit-Versuche \u00fcber PrintNightmare zunehmen werden.<\/p>\n

Die Schwachstellen und deren Exploits<\/h2>\n

Die Schwachstelle CVE-2021-1675<\/a> kann verwendet werden, um die Privilegien zu erh\u00f6hen (Elevation of Privilege)<\/a>. Das hei\u00dft, sie erm\u00f6glicht es den Angreifern mit geringen Zugriffsprivilegien eine sch\u00e4dliche DLL-Datei zu erstellen und zu nutzen, um einen Exploit auszuf\u00fchren und damit eine Rechteausweitung zu erzielen. Das ist allerdings nur m\u00f6glich, wenn der Angreifer bereits Zugriff auf den entsprechenden, anf\u00e4lligen Computer hat. Deshalb stuft Microsoft diese Schwachstelle als nicht besonders risikoreich ein.<\/p>\n

CVE-2021-34527<\/a> ist weitaus gef\u00e4hrlicher: Diese Schwachstelle weist zwar gewisse \u00c4hnlichkeiten mit der anderen auf, aber hier handelt es sich um eine RCE-Schwachstelle (Remote Code Execution)<\/a>, die es erm\u00f6glicht aus der Ferne DLLs in das anf\u00e4llige System einzuf\u00fcgen. Microsoft hat den Exploit bereits in freier Wildbahn gesichtet. Auf der Securelist von Kaspersky<\/a> finden Sie eine detailliertere technische Beschreibung der Schwachstellen und die Techniken, die f\u00fcr die Exploits verwendet werden.<\/p>\n

Da Angreifer PrintNightmare verwenden k\u00f6nnen, um Zugriff auf die Daten in IT-Infrastrukturen von Unternehmen zu erhalten, ist es durchaus m\u00f6glich, dass dieser Exploit auch f\u00fcr Ransomware-Angriffe genutzt wird.<\/p>\n

So sch\u00fctzen Sie Ihre IT-Infrastruktur vor PrintNightmare<\/h2>\n

Der erste Schritt, um Angriffe \u00fcber PrintNightmare vorzubeugen, besteht darin beide Patches von Microsoft zu installieren \u2013 sowohl der Patch von Juni<\/a> als auch der Patch von Juli<\/a>. Auf der zweiten Seite finden Sie auch einige Workarounds von Microsoft, f\u00fcr den Fall, dass Sie die Patches nicht verwenden k\u00f6nnen\u00a0\u2013 f\u00fcr eins der Hilfsverfahren ist es noch nicht einmal notwendig den Windows-Druckerspooler zu deaktivieren.<\/p>\n

Abgesehen davon, empfehlen wir den Druckerspooler von Windows zu deaktivieren<\/a>, wenn die Funktion auf dem entsprechenden Computer nicht verwendet wird. Insbesondere Dom\u00e4nencontroller werden in der Regel nicht zum Drucken verwendet.<\/p>\n

Dar\u00fcber hinaus brauchen alle Server und Computer eine zuverl\u00e4ssige Endpoint-Sicherheitsl\u00f6sung<\/a>, die Exploit-Versuche von bekannten und unbekannten Schwachstellen, einschlie\u00dflich PrintNightmare, erfolgreich verhindern kann.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Windows-Systeme umgehend aktualisieren, um die Schwachstellen CVE-2021-1675 und CVE-2021-34527 im Windows-Druckerspooler zu patchen.<\/p>\n","protected":false},"author":2706,"featured_media":27049,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[1498,382,1012,33,3778],"class_list":{"0":"post-27047","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-schwachstellen","11":"tag-sicherheitslucken","12":"tag-updates","13":"tag-windows","14":"tag-zeroday"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/printnightmare-vulnerability\/27047\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/printnightmare-vulnerability\/23044\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/printnightmare-vulnerability\/18526\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/printnightmare-vulnerability\/9266\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/printnightmare-vulnerability\/24996\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/printnightmare-vulnerability\/23004\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/printnightmare-vulnerability\/22297\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/printnightmare-vulnerability\/25616\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/printnightmare-vulnerability\/25086\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/printnightmare-vulnerability\/31025\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/printnightmare-vulnerability\/9814\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/printnightmare-vulnerability\/40520\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/printnightmare-vulnerability\/17307\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/printnightmare-vulnerability\/17782\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/printnightmare-vulnerability\/15021\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/printnightmare-vulnerability\/31190\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/printnightmare-vulnerability\/27276\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/printnightmare-vulnerability\/24088\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/printnightmare-vulnerability\/29420\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/printnightmare-vulnerability\/29212\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/schwachstellen\/","name":"Schwachstellen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27047","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=27047"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27047\/revisions"}],"predecessor-version":[{"id":27050,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27047\/revisions\/27050"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/27049"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=27047"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=27047"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=27047"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}