MICROSOFT Sicherheitswarnung vor “PrintNightmare”

Programmcode
Programmcode | fancycrave1 / Pixabay

ACHTUNG: Diese Sicherheitswarnung betrifft ALLE Windows Systeme; die Lücke wird bereits aktiv ausgenutzt!

Wie das cert.at in Bezug auf Quellen wie HEISE (s. hier) berichtet, hat die Arbeit an einem Patch im Bereich des Microsoft Windows-Druckspooler-Dienstes über mehrere Wege zur Entdeckung einer weiteren, bislang nicht geschlossenen Sicherheitslücke geführt.

Es gibt vonseiten Microsoft zwar inzwischen aktualisierte Infos dazu, aber noch kein Sicherheitsupdate!
Also müssen sich Windows Admins von Firmennetzwerken, Vereinen mittels eines Workarounds absichern. Auch für private Nutzer, welche evtl. ihr eigenes kleines Heimnetzwerk im Homeoffice betreiben, ist diese Sache wichtig.

Erste Hilfe

Stoppen und Deaktivieren des “Print Spooler Service”. (Allerdings deaktiviert das jegliche Druckfunktionalität auf den betroffenen Systemen)

HEISE beschreibt hier eine Lösung mit Kommandozeilen: https://www.heise.de/news/Jetzt-handeln-Angreifer-nutzen-die-Drucker-Luecke-in-Windows-bereits-aus-6127265.html#nav_workaround_um__1

Ein weiterer Workaround, der Drucken weiterhin ermöglicht, ist die Einschränkung der Access Control Lists (ACL) wie hier beschrieben.

ZITAT cert.at:
Das Ausnutzen der Schwachstelle im Microsoft Windows-Druckspoolerdienst, der den Zugriff auf die Funktion RpcAddPrinterDriverEx() nicht einschränkt, kann es authentifizierten Remote-AngreiferInnen ermöglichen, beliebigen Code mit SYSTEM-Rechten auf einem anfälligen System auszuführen.

 

cert.at ist das österreichische “Computer Emergency Response Team” und eine Initiative von nic.at, der österreichischen Domainregistry.
Das Institut ist der gut vernetzte Ansprechpartner für IT-Sicherheit im nationalen Umfeld. Es gibt Warnungen, Alerts und Tipps für KMUs heraus.