Sicherheitslücke im Windows Druckdienst
Aktuelle Informationen
Letzte Änderung am 21.07.2021
Nachrichten
Wir möchten Sie zur neu bekannt gewordenen Drucker-Schwachstelle CVE-2021-34481 informieren. Betroffen von der Schwachstelle sind alle Versionen von Windows. Es ist noch kein offizieller Patch vorhanden, der Notfallpatch für die PrintNightmare Schwachstelle zeigt für diese Sicherheitslücke keine Wirkung.
Die Schwachstelle kann auf zwei verschiedenen Wegen ausgenutzt werden:
- Ein lokaler, authentifizierter Angreifer kann durch einen schadhaften, signierten Drucktreiber System-Berechtigungen erlangen.
Diese Schwachstelle ist nur sehr schwer zu beheben, da das Verhalten von Windows gewollt ist, damit auch nicht Admin-Nutzer Drucker hinzufügen können. Zum Verhindern einer Ausnutzung wird man auf Sicherheitsprogramme wie Antivirenprogramme vertrauen müssen, um schadhafte Treiber zu erkennen, bevor sie ausgeführt werden können. - Der zweite Angriffsvektor funktioniert über einen vom Angreifer kontrollierten Druckserver. Durch die Installation eines Drucktreibers von solch einem Druckserver kann ein Angreifer den Client dazu bringen, beliebige DLLs mit Systemrechten auszuführen, wodurch der Angreifer selbst System-Berechtigungen erhält und beliebigen Schadcode ausführen kann.
Um diese Anfälligkeit zu minimieren wird folgendes empfohlen:
- Aktivierung des Whitelisting der Point and Print Funktion. Diese Option verbietet das Herunterladen von Treibern, für nicht Admin-Nutzer, aus allen Quellen, welche nicht explizit erlaubt sind.
- Server so konfiguriert, dass im System32 Verzeichnis nichts installiert werden kann
- Die sicherste Lösung ist die Deaktivierung des Microsoft Druck Dienstes auf allen Arbeitsstationen und Servers, was allerdings zu erheblichen Einschränkungen im täglichen Arbeitsablauf führt, da in diesem Fall weder auf Papier noch in das pdf-Format gedruckt werden kann. Aber auch die Deaktivierung des Druckdienstes auf allen Servern und Arbeitsstationen, die für das tägliche Dienstgeschäft nicht unbedingt drucken müssen, verringern das Risiko.
KISA selbst ergreift im Dienstleistungsrechenzentrum Maßnahmen, um eine mögliche Angreifbarkeit und damit Schadwirkungen zu minimieren.