Microsoft warnt vor neuem Windows-Druckspooler-RCE-Fehler

Nur einen Tag nachdem Microsoft frühere Sicherheitslücken im Windows Print Spooler behoben hatte, tauchte eine neue Sicherheitslücke auf.

Nach dem vor zwei Tagen veröffentlichten Patch hat Microsoft eine weitere Sicherheitslücke in der Windows Print Spooler-Komponente aufgedeckt, aber versprochen, das Problem mit einem zukünftigen Sicherheitsupdate zu beheben.

Kürzlich wurde die bisher unbekannte Sicherheitslücke mit der Bezeichnung CVE-2021-36958 in die Liste der als PrintNightmare bekannten Sicherheitslücken aufgenommen. Die Sicherheitslücke wurde erstmals im Dezember 2020 von Victor Mata von FusionX, Accenture Security, entdeckt.

Microsoft erklärte alles in einem Bulletin mit besonderem Augenmerk auf die kürzlich identifizierte Sicherheitslücke CVE-2021-34481. Nach Angaben des Unternehmens existiert eine Sicherheitslücke zur Remotecodeausführung, bei der der Windows Print Spooler-Dienst unzulässigerweise berechtigte Dateioperationen auf einem ungeschützten Windows-System ausführt.

Das Unternehmen erklärte, dass ein Angreifer, der die Sicherheitslücke erfolgreich ausnutzt, in der Lage wäre, administrativen Zugriff auf den Computer zu erhalten. Angreifer können auf dem Computer eines bestimmten Benutzers unter anderem Informationen bearbeiten, lesen oder entfernen und sogar neue Konten mit vollen Benutzerrechten auf dem Zielcomputer erstellen.

Um Hacking-Bedrohungen zu vermeiden, rät Microsoft den Benutzern, den Druckspooler-Dienst zu stoppen und zu deaktivieren. 

Dank eines aktuellen Microsoft-Updates ist es jetzt möglich, das Standardverhalten von Windows Point and Print so zu ändern, dass neue und vorhandene Druckertreiber nur von Benutzern mit Administratorstatus über Treiberdateien auf einem lokalen oder entfernten Computer oder Server installiert und aktualisiert werden können.

Microsoft hat eine Möglichkeit zur Lösung des Problems bereitgestellt: den Druckspooler-Dienst auf dem betreffenden Computer zu stoppen und zu deaktivieren. Laut dem Computer Emergency Response Team (CERT) sollten Benutzer auch die ausgehende SMB-Konnektivität deaktivieren, um zu verhindern, dass eine Verbindung zu einem bösartigen freigegebenen Drucker hergestellt wird. Darüber hinaus wird dringend empfohlen, die neueste Version des Betriebssystems zu verwenden und die neuesten Sicherheitsupdates zu installieren, sobald sie veröffentlicht werden.