MENU Schließen
Schließen

PrintNightmare: Windows-Server und Clients scannen und patchen

Aktuell kursiert nach Hafnium (Exchange) das nächste Schreckgespenst durch die Windowswelt: PrintNightmare

Aktuell kursiert nach Hafnium (Exchange) das nächste Schreckgespenst durch die Windowswelt: PrintNightmare

Aufgrund einer als „kritisch“ eingestuften Sicherheitslücke, die alle Windows-Versionen betrifft, hat Microsoft außer der Reihe Sicherheitspatches veröffentlicht. Da Angreifer die Lücke bereits aktiv ausnutzen, sollten Admins schnell reagieren und die Patches installieren. Weitere Infos bei heise.de

  1. Details zur Sicherheitslücke: PrintNightmare, offiziell als CVE-2021-34527 bekannt, ist eine kritische Sicherheitslücke im Windows Print Spooler. Ursprünglich als Privilegien-Eskaltionsschwachstelle klassifiziert, haben Sicherheitsforscher gezeigt, dass die Schwachstelle es authentifizierten Benutzern ermöglicht, Remote-Code-Ausführung mit SYSTEM-Level-Privilegien zu erlangen.
  2. Auswirkungen der Sicherheitslücke: Die Schwachstelle befindet sich im RpcAddPrinterDriver-Aufruf des Windows Print Spooler. Ein Client verwendet den RPC-Aufruf, um einen Treiber auf dem Server hinzuzufügen, wobei der gewünschte Treiber in einem lokalen Verzeichnis oder auf dem Server über SMB gespeichert wird. Dieser Treiber kann beliebigen Code enthalten, der mit SYSTEM-Privilegien auf dem Opferserver ausgeführt wird.
  3. Aktualisierungen zur Sicherheitslücke: Am 12. August 2021 wurde CVE-2021-34527 gepatcht, aber eine neue Zero-Day-Sicherheitslücke im Windows Print Spooler, CVE-2021-36958, wurde am 11. August 2021 angekündigt. CVE-2021-36958 entsteht durch unsachgemäßes Datei-Privilegienmanagement und ermöglicht es Angreifern, beliebigen Code mit SYSTEM-Level-Privilegien auszuführen. Ab dem 12. August gibt es keinen Patch für CVE-2021-36958. Die Minderung besteht darin, den Print Spooler-Dienst zu deaktivieren.
  4. Empfehlungen zur Minderung: Um sicherzustellen, dass Ihre Systeme sicher sind, sollten Sie Ihre On-Prem-Instanzen auf den neuesten Stand bringen und die Patches installieren. Sie sollten auch prüfen, ob alle Agents auf dem neuesten Stand sind. Nach dem erfolgreichen Update sollten Sie Ihre Systeme auf die CVE 2021-34527 prüfen und Ihre Windows-Umgebungen aktualisieren.
  5. Weitere Maßnahmen: Selbst wenn dieser neue Zero-Day letztendlich gepatcht wird, empfehlen wir dringend, den Windows Print Spooler-Dienst, wo immer möglich, deaktiviert zu lassen.

On-Premises und Pulsar-Agents aktualisieren

Um sicherzustellen, dass Ihre Systeme Up-to-Date sind (da es sich hier um einen nicht standardisierten Updateprozess seitens Windows handelt), empfehlen wir dringend Ihre On-Prem-Instanzen auf den aktuellen Stand zu bringen.

Führen Sie bitte auf dem App-Server das „update.sh“ Skript aus, um das Reporter-Modul zu aktualisieren. Updateanleitung

In diesem Zuge sollten Sie gleich prüfen, ob auch alle Agents auf den aktuellen Stand (Version: 3.2.1) sind. So updaten Sie Ihre Pulsar Agents

Bitte prüfen Sie Ihre Systeme nach erfolgreichen Update auf die CVE 2021-34527 und Updaten Sie Ihre Windows-Umgebungen.

Für Rückfragen stehen wir Ihnen wie gewohnt jeder Zeit zur Verfügung.

Mehr zum Schwachstellenmanagement mit Enginsight

P.S. Die Lage zu der Sicherheitslücke scheint noch nicht ganz klar zu sein. Es gibt aktuell gegenteilige Aussagen von Sicherheitsforschern und Microsoft.

Nachzulesen in diesen beiden Beiträgen:

Inhalt

Kommende Events & Webcasts:

Weitere Beiträge im Enginsight Blog
Security-Trends und Themen im Jahr 2024

Security-Trends und -Thesen 2024

Was sagen die Experten zu besonderen Bedrohungen, möglichen Schutzmechanismen/-technologien und den neuen Regularien? 2024 wird im Bereich Informations- und Cybersicherheit wohl wieder ein extrem anstrengendes

Wer braucht ein SIEM und warum?

Ein SIEM-System zentralisiert und analysiert Daten im gesamten IT-Netzwerk, um Sicherheitsprobleme zu identifizieren und zu beheben. Unternehmen erfüllen mit einem SIEM Compliance-Anforderungen und beschleunigen die

Enginsight Logo