Das BSI hat folgende Sicherheitswarnung veröffentlicht:
Sachverhalt:
Im Rahmen des letzten Patchdays veröffentlichte Microsoft neben Sicherheitsupdates zusätzlich Informationen über die Schwachstelle CVE-2021-1675 [MS2021a]. Betroffen ist hier die Warteschlange (Spooler), die von Windows-Systemen zur Abarbeitung von Druckaufträgen genutzt wird. Von der Schwachstelle betroffen sind die Clientversionen Windows 7, Windows 8.1, Windows RT 8.1, Windows 10 (1607, 1809, 19009, 2004, 20H2, 21H1) als auch Serverversionen (2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2004, 20H2) von Microsoft Windows. Vom Hersteller wurde die Ausnutzung der Sicherheitslücke zunächst als aufwändig eingestuft. Die Schwachstelle ließ sich aus der Entfernung mit gültigen Anmeldeinformationen ausnutzen und erlaubt Codeausführung sowie die Eskalation von Privilegien.
In der Nacht vom 29.06. auf den 30.06.2021 wurde Proof of Concept Exploitcodeveröffentlicht [GIT2021a, GIT2021a]. Die als Printnightmare benannten Exploits nehmen Bezug auf CVE-2021-1675 und nutzen eine bislang ungepatchte Schwachstelle des Spooler-Dienstes aus. Trotz des von Microsoft bereitgestellten Updates im Juni sind Angriffe auf den Spooler-Dienst weiterhin möglich. Dem BSI sowie weiteren Sicherheitsforschern ist das entfernte Ausführen des Exploits unter Verwendung von Anmeldeinformationen eines unprivilegierten Domänenbenutzers auf einem vollständig mit aktuellen Sicherheitsupdates versorgten Windows Server 2019 und Windows Server 2016 Domänencontroller gelungen. Der veröffentlichte Exploit-Code wurde bereits in Angriffswerkzeuge integriert [TR2021a, SA2021a].
Bewertung
Das BSI bewertet die Schwachstelle als kritisch. Da insbesondere auf Domänencontrollern der Spooler-Dienst ohne weitere Härtungsmaßnahmen standardmäßig aktiviert und authentisiert erreichbar ist, besteht hier ein besonderes Risiko. Mittels eines kompromittierten Arbeitsplatzrechners kann dadurch letztlich die Kontrolle über bspw. die Druckserver oder Domänencontroller im NT-Authorität\System Kontext und folglich potentiell das gesamte Netzwerk erlangt werden. Aufgrund dessen ist von einer unmittelbaren Ausnutzung im Rahmen von Angriffen auszugehen.
Maßnahmen
Da zur Mitigation aktuell nur der Spooler-Dienst deaktiviert werden kann, ist zu prüfen, ob der standardmäßig aktivierte Dienst zumindest auf Domänencontrollern abgeschaltet werden kann [MS2021b], [ITGSa], [ITGSb]. Durch dessen Deaktivierung kann auf diesen Systemen im Anschluss nicht mehr gedruckt werden. Weiterhin zu beachten ist dabei der unter [MS2021b] beschriebene Hinweis, dass durch eine Deaktivierung auf Domänencontrollern keine Druckbereinigung von veralteten Druckwarteschlangenobjekten aus dem Active Directory stattfindet. In Folge dessen müsste entweder eine manuelle Bereinigung oder eine Bereinigung mit Hilfe eines Automatisierungsskripts erfolgen.Der Spooler-Dienst kann innerhalb einer Windowsdomäne über die Gruppenrichtlinien (Computer Configuration \Policies\Windows Settings\System Services\Print Spooler) und in lokal verwalteten Systemen über die Powershell oder die Diensteverwaltung (services.msc) deaktiviert werden.
Sobald in diesem Zusammenhang ein neues Update verfügbar ist, sollte dieses unmittelbar geprüft und eingespielt werden.
Links:
[GIT2021a] – PrintNightmare (CVE-2021-1675): Remote code execution in Windows Spooler Service
https://github.com/afwu/PrintNightmare
[GIT2021b] -CVE-2021-1675
https://github.com/cube0x0/CVE-2021-1675
[ITGSa] – BSI, IT-Grundschutz, Allgemeiner Server SYS.1.1.A6 – Deaktivierung nicht benötigter Dienste (B)
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/
Kompendium_Einzel_PDFs_2021/07_SYS_IT_Systeme/SYS_1_1_Allgemeiner_Server_Edition_2021.pdf
[ITGSb] – BSI, IT-Grundschutz, Allgemeiner Client SYS.2.1.A16 – Deaktivierung und Deinstallation nicht benötigter
Komponenten und Kennungen (S)
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/
Kompendium_Einzel_PDFs/07_SYS_IT_Systeme/SYS_2_1_Allgemeiner_Client_Edition_2020.pdf
[MS2021a] Sicherheitsanfälligkeit im Windows-Druckerspooler bezüglich Remotecodeausführung
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675
[MS2021b] Sicherheitsbewertung: Domänencontroller mit verfügbarem Druckspoolerdienst
https://docs.microsoft.com/de-de/defender-for-identity/cas-isp-print-spooler
[SA2021a] PoC exploit for CVE-2021-1675 RCE started circulating online
https://securityaffairs.co/wordpress/119502/hacking/2021-1675-rce-poc.html
[TR2021a] PoC exploit accidentally leaks for dangerous Windows PrintNightmare bug
https://therecord.media/poc-released-for-dangerous-windows-printnightmare-bug/
Weitere Hinweise: