Schadcode-Lücke in Drucker Spooler

Schadcode-Lücke in Drucker Spooler

Schadcode-Lücke in Drucker Spooler entdeckt – Eine neue Sicherheitslücke geht zur Zeit durchs Netz. Sicherheitsforscher haben eine neue Lücke im Printer-Spooler-Service von Microsoft entdeckt. Bislang gibt es dafür keinen Patch von Microsoft aber es gibt einen Workaround den Administratoren durchführen sollten.

Advertisement

Schadcode-Lücke in Drucker Spooler

Forscher von Sangfor haben versehentlich einen Exploit-Code für die neue Lücke veröffentlicht. Das geschah im Zuge der Vorbereitungen für einen Vortrag über Printer-Spooler-Bugs auf der bevorstehenden Hacker-Konferenz Black Hat im August 2021. Nach der Veröffentlichung stellte sich heraus, dass der Code gar nicht für die bereits geschlossen Lücke ist, welche Microsoft am Patchday im Juni geschlossen hat. Die Schwachstelle bezog sich auch auf den Printer-Spooler. Man ging also davon aus dass es sich um die Schwachstelle CVE-2021-1675 mit der Priorität “hoch” handelt, doch weit gefehlt.

Es handelt sich um eine neue Lücke die bereits als Zero-Day-Exploit im Netz unterwegs ist. Für diese neue Schwachstelle gibt es noch keine CVE-Beschreibung und Microsoft stellt auch noch keinen Patch zur Verfügung. Vermutlich wird dieser zum Patchday im Juli vorhanden sein. Der Patchday ist allerdings erst am 13. Juli geplant und die Schwachstelle kann jetzt ausgenutzt werden. Administratoren sollten also vorab schon handeln. Ob es bereits Attacken gibt, ist derzeit nicht bekannt.

Advertisement

Printer-Spooler Schwachstelle

Das Problem befindet sich im Printer-Spooler-Service von Windows. Laut Informationen sollen alle Version von Windows 7 SP1 bis 2019 betroffen sein. Diverse Sicherheitsforscher geben an, vollständige gepatchte Systeme mit Windows 2019 Server erfolgreich attackiert zu haben. Sie konnte Schadcode mit System-Rechten ausführen. Das wäre vor allem auf einem Domain-Controller fatal. Angreifer könnten so weitere Systeme mit Schadcode bzw. Malware infizieren und sich im Netzwerk ausbreiten. Nicht ausgeschlossen wäre auch ein Diebstahl von Daten bzw. Kennungen zu den Benutzern.

Advertisement

Einem Bericht der Carnegie Mellon University zufolge muss ein Angreifer aber authentifiziert sein. Ist das gegeben, könnte er an der verwundbaren RpcAddPrinterDriverEx()-Funktion des Windows-Print-Spooler-Service ansetzen und dem Betriebssystem einen mit Schadcode präparierten Treiber unterschieben. Mit System-Rechten ausgestattet könnten Angreifer hier viel Schaden anrichten.

Was können Sie tun?

Noch hat Microsoft nicht auf die neue Lücke reagiert und keinen Patch angekündigt. Man geht davon aus dass ein Patch frühestens zum Patchday im Juli veröffentlicht wird. Dennoch kann man etwas gegen die Schwachstelle tun… Deaktivieren Sie den Print-Spooler Service und Systeme können mit der beschriebenen Attacke nicht angegriffen werden. Derzeit ist es nur möglich mit Deaktivierung des Dienstes das Problem zu beheben.

Sie benötigen Unterstützung?
Sprechen Sie uns an, unsere Techniker stehen Ihnen mit Rat und Tat zur Seite.

Bewerten Sie diesen Beitrag:
[Gesamt: 3 Durchschnitt: 4.7]
Advertisement

Share:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on telegram
Telegram
Share on whatsapp
WhatsApp
Share on email
Email
Share on print
Print

Das könnte Sie auch interessieren:

Microsoft schließt Lücken
Microsoft

Microsoft schließt Lücken in Windows

Microsoft schließt Lücken in Windows – Beim aktuellen Patchday von Microsoft sind mehrere Sicherheitsupdates erschienen. Auch die PrintNightmare Geschicht spielt bei diesem Patchday noch eine

Weiterlesen »
Vorsicht vor präparierten Office-Dokumenten
Bedrohung

Vorsicht vor präparierten Office-Dokumenten

Vorsicht vor präparierten Office-Dokumenten – Derzeit gehen wieder gezielte Angriffe auf Windows-Systeme los. Angreifer versuchen über präparierte Office-Dokumente sich Zugriff zum System zu verschaffen bzw.

Weiterlesen »
Exchange-Server-Attacken reißen nicht ab
Bedrohung

Exchange-Server-Attacken reißen nicht ab

Exchange-Server-Attacken reißen nicht ab – Nach wie vor werden dutzende Exchange-Server attackiert. Die Administratoren müssen jetzt endlich handeln. Die Sicherheitsupdates sind bereits seit April verfügbar

Weiterlesen »