Microsoft gibt neuen Print Spool LPE-Angriff zu

Es ist ein bisschen wie in einem Horrorfilm: Sobald Microsoft denkt, dass sein PrintNightmare vorbei ist, taucht ein neuer Angriffsvektor auf.

MSRC hat ein Advisory (CVE-2021-34481) veröffentlicht, in dem Administratoren darüber informiert werden, dass trotz eines kürzlich durchgeführten Patches gegen PrintNightmare ein neuer Angriff entdeckt wurde, der ihren PC anfällig für einen Angriff macht.

Laut Microsoft besteht eine Schwachstelle bei der Erhöhung von Berechtigungen, wenn der Windows Druckspooler-Dienst auf unzulässige Weise privilegierte Dateioperationen durchführt. Bei einem erfolgreichen Ausnutzen dieser Sicherheitslücke könnte ein Angreifer jeglichen Code mit den Systemberechtigungen ausführen. Der Angreifer kann anschließend Programme installieren, Daten ändern, anzeigen oder löschen sowie neue Konten mit vollen Nutzerrechten anlegen.

Im Gegensatz zum ursprünglichen PrintNightmare ist dieser Angriff jedoch kein Remote-Code-Exploit, und der Angreifer muss die Möglichkeit haben, Code auf einem Zielsystem auszuführen, um diese Sicherheitslücke auszunutzen. Er kann natürlich mit einer anderen Schwachstelle verkettet werden und diese Schwachstelle ausnutzen, um seine Privilegien zu erhöhen. Microsoft weist darauf hin, dass zur Ausführung kein Benutzereingriff erforderlich ist.

Microsoft hat noch keinen Patch für den neuen Fehler veröffentlicht, weist aber darauf hin, dass als Workaround das Stoppen und Deaktivieren des Print Spooler-Dienstes wirksam ist.

Mehr Informationen über den Angriff erhalten Sie auf der Microsoft-Webseite.