PrintNightmare: Windows-10-Patch erhöht Rechte für Drucker-Dienst

Für die PrintNightmare genannte Sicherheitslücke im Windows-Drucker-Spooler gibt es einen Patch. Das KB5005652-Update sorgt dafür, dass sich per Point-and-Print nicht mehr beliebige Dateien installieren lassen.

In einem Blog-Beitrag erläutert Microsoft, dass mit dem Patch zwingend Admin-Rechte erforderlich sind, um Point-and-Print via Remote-Server auszuführen. Bisher konnten entsprechende Druckertreiber und in dessen Fahrwasser Schadanwendungen auch mit niedrigeren Zugriffsrechten installiert werden.

Der Hersteller erklärt dazu: "Wir haben diese Änderung im Standardverhalten vorgenommen, um das Risiko auf allen Windows-Geräten zu minimieren, einschließlich Geräten, die keine Punkt- und Druck- oder Druckfunktionen verwenden." Microsoft ist bewusst, dass Admin-Rechte dafür sorgen, dass bestimmte Nutzer keinen Zugriff mehr auf Point-and-Print haben, sagt aber: "Wir sind der festen Überzeugung, das Sicherheitsrisiko rechtfertigt diese Änderung."

Standardverhalten anpassbar

Wer das KB5005652-Update aufgespielt hat, kann das Standardverhaltens der Treiberinstallation mit Hilfe eines Registrierungsschlüssels nachträglich wieder rückgängig machen. Dieser liegt in "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint", dort muss "RestrictDriverInstallationToAdministrators" auf Null gesetzt werden. Ist dies geschehen, dürfen auch Nichtadministratoren signierte und nicht signierte Treiber auf einem Druck-Server installieren.

PrintNightmare wurde als CVE-2021-34481 gekennzeichnet. Microsoft empfahl übergangsweise, den Drucker-Spooler-Dienst zu deaktivieren oder nur noch lokale Druckaufträge zuzulassen. Auch ein erster Patch schaffte keine vollständige Abhilfe, denn das Problem der Local Privilege Escalation bestand weiter.