Printnightmare: Ungepatchte Sicherheitslücke in Windows sorgt für Verwirrung
Unter dem Namen Printnightmare firmieren zwei Sicherheitslücken: Die eine wurde gepatcht, für die andere wurde ein Exploit veröffentlicht.

Für eine Zero Day mit dem Namen Printnightmare im Windows-Druckspooler machen derzeit Exploits die Runde, mit der sich Code aus der Ferne ausführen lässt. Eine gleichnamige Sicherheitslücke (CVE-2021-1675) hatte Microsoft eigentlich mit seinem Sicherheitsupdate vom 8. Juni behoben. Daraufhin veröffentlichte eine Sicherheitsfirma ihren Proof-of-Concept-Exploit, um kurz darauf festzustellen, dass sich der Exploit zumindest auf einem Windows-Domänencontroller weiterhin ausnutzen lässt.
Die zweite Sicherheitslücke (CVE-2021-34527), die ebenfalls unter dem Namen Printnightmare firmiert, wurde bislang noch nicht behoben. Sowohl die erste als auch die zweite Sicherheitslücke sollen laut Microsoft das Ausführen von Code aus der Ferne (Remote Code Execution, RCE) ermöglichen. Unklar bleibt, ob der Patch vom Juni die Sicherheitslücke einfach nicht vollständig behoben hat oder ob es sich, wie Microsoft betont, um eine zwar ähnliche, aber andere Sicherheitslücke handelt, die auch einem andere Angriffsvektor folgt.
Workaround: Printspooler deaktivieren oder einschränken
Die zweite Sicherheitslücke betrifft zumindest Windows-Domänencontroller. Ob weitere Gerätetypen verwundbar seien, werde derzeit noch untersucht, erklärte Microsoft. Betroffen sind demnach Windows Server 2008 und neuer, sowie Windows 7 bis hin zur aktuellen Windows-10-Version. Um die zweite Sicherheitslücke aufzurufen, müsse ein authentifizierter Nutzer die Funktion RpcAddPrinterDriverEx() aufrufen. Auf diese Weise sei das Ausführen von Code mit Systemrechten aus der Ferne möglich.
Als möglichen Workaround empfiehlt Microsoft, den Druckspooler-Service abzuschalten. Alternativ könnten eingehende Druckaufträge aus dem Netz über eine Gruppenrichtlinie deaktiviert werden. Mit letzterem sei lokales Drucken weiterhin möglich, nur Aufträge aus dem Netzwerk würden nicht mehr angenommen. Mit dem ersten Workaround könne auf dem Rechner nicht mehr gedruckt werden.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Hallo cakruege, Danke für den Hinweis. Laut Microsoft handelt es sich um eine zwar...