Microsoft bestätigt einen weiteren Windows-Druckspooler-Zero-Day-Bug

Donnerstag, 12.08.2021

Microsoft hat einen Hinweis auf eine weitere Zero-Day-Schwachstelle im Windows-Druckspooler mit der Bezeichnung CVE-2021-36958 veröffentlicht, die es lokalen Angreifern ermöglicht, SYSTEM-Berechtigungen auf einem Computer zu erlangen.

Diese Sicherheitslücke gehört zu einer Klasse von Fehlern, die als "PrintNightmare" bekannt sind und Konfigurationseinstellungen für den Windows-Druckspooler, Druckertreiber und die Windows-Funktion "Zeigen und Drucken" missbrauchen.

Microsoft hat sowohl im Juli als auch im August Sicherheitsupdates veröffentlicht, um verschiedene PrintNightmare-Schwachstellen zu beheben.

Eine von dem Sicherheitsforscher Benjamin Delpy aufgedeckte Schwachstelle ermöglicht es Angreifern jedoch nach wie vor, sich schnell SYSTEM-Rechte zu verschaffen, indem sie einfach eine Verbindung zu einem Remote-Druckserver herstellen.

Diese Sicherheitsanfälligkeit nutzt die CopyFile-Registrierungsanweisung, um eine DLL-Datei zu kopieren, die eine Eingabeaufforderung auf dem Client zusammen mit einem Druckertreiber öffnet, wenn Sie eine Verbindung zu einem Drucker herstellen.

Obwohl die jüngsten Sicherheitsupdates von Microsoft das Installationsverfahren für neue Druckertreiber so geändert haben, dass es Administratorrechte erfordert, müssen Sie keine Administratorrechte eingeben, um eine Verbindung zu einem Drucker herzustellen, wenn dieser Treiber bereits installiert ist.

Wenn der Treiber auf einem Client vorhanden ist und daher nicht installiert werden muss, wird die Verbindung zu einem entfernten Drucker für Benutzer ohne Administratorrechte dennoch die CopyFile-Anweisung ausführen. Durch diese Schwachstelle kann die DLL von Delpy auf den Client kopiert und ausgeführt werden, um eine Eingabeaufforderung auf SYSTEM-Ebene zu öffnen.

Microsoft veröffentlicht Empfehlung zu CVE-2021-36958

Microsoft hat nun einen Hinweis auf eine neue Sicherheitslücke im Windows Print Spooler veröffentlicht, die als CVE-2021-36958 verfolgt wird.

Es besteht eine Sicherheitsanfälligkeit für die Ausführung von Remotecode, wenn der Windows Print Spooler-Dienst unsachgemäß privilegierte Dateioperationen durchführt. Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, könnte beliebigen Code mit SYSTEM-Rechten ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.

In dem Advisory schreibt Microsoft den Fehler Victor Mata von FusionX, Accenture Security, zu, der den Fehler ebenfalls im Dezember 2020 entdeckt hat.

Microsoft wird wahrscheinlich in den nächsten Tagen eine Aktualisierung des Dokuments vornehmen, um die Einstufung von "Auswirkung" in "Erhöhung von Privilegien" zu ändern.

Entschärfung der Sicherheitslücke CVE-2021-36958

Microsoft hat noch kein Sicherheitsupdate für diese Schwachstelle veröffentlicht, gibt aber an, dass Sie den Angriffspunkt entfernen können, indem Sie den Druckspooler deaktivieren.

Da die Deaktivierung des Print Spoolers verhindert, dass Ihr Gerät druckt, ist es besser, wenn Sie Ihrem Gerät nur erlauben, Drucker von autorisierten Servern zu installieren.