Aktuell kursiert nach Hafnium (Exchange) das nächste Schreckgespenst durch die Windowswelt: PrintNightmare
Aufgrund einer als „kritisch“ eingestuften Sicherheitslücke, die alle Windows-Versionen betrifft, hat Microsoft außer der Reihe Sicherheitspatches veröffentlicht. Da Angreifer die Lücke bereits aktiv ausnutzen, sollten Admins schnell reagieren und die Patches installieren. Weitere Infos bei heise.de
- Details zur Sicherheitslücke: PrintNightmare, offiziell als CVE-2021-34527 bekannt, ist eine kritische Sicherheitslücke im Windows Print Spooler. Ursprünglich als Privilegien-Eskaltionsschwachstelle klassifiziert, haben Sicherheitsforscher gezeigt, dass die Schwachstelle es authentifizierten Benutzern ermöglicht, Remote-Code-Ausführung mit SYSTEM-Level-Privilegien zu erlangen.
- Auswirkungen der Sicherheitslücke: Die Schwachstelle befindet sich im RpcAddPrinterDriver-Aufruf des Windows Print Spooler. Ein Client verwendet den RPC-Aufruf, um einen Treiber auf dem Server hinzuzufügen, wobei der gewünschte Treiber in einem lokalen Verzeichnis oder auf dem Server über SMB gespeichert wird. Dieser Treiber kann beliebigen Code enthalten, der mit SYSTEM-Privilegien auf dem Opferserver ausgeführt wird.
- Aktualisierungen zur Sicherheitslücke: Am 12. August 2021 wurde CVE-2021-34527 gepatcht, aber eine neue Zero-Day-Sicherheitslücke im Windows Print Spooler, CVE-2021-36958, wurde am 11. August 2021 angekündigt. CVE-2021-36958 entsteht durch unsachgemäßes Datei-Privilegienmanagement und ermöglicht es Angreifern, beliebigen Code mit SYSTEM-Level-Privilegien auszuführen. Ab dem 12. August gibt es keinen Patch für CVE-2021-36958. Die Minderung besteht darin, den Print Spooler-Dienst zu deaktivieren.
- Empfehlungen zur Minderung: Um sicherzustellen, dass Ihre Systeme sicher sind, sollten Sie Ihre On-Prem-Instanzen auf den neuesten Stand bringen und die Patches installieren. Sie sollten auch prüfen, ob alle Agents auf dem neuesten Stand sind. Nach dem erfolgreichen Update sollten Sie Ihre Systeme auf die CVE 2021-34527 prüfen und Ihre Windows-Umgebungen aktualisieren.
- Weitere Maßnahmen: Selbst wenn dieser neue Zero-Day letztendlich gepatcht wird, empfehlen wir dringend, den Windows Print Spooler-Dienst, wo immer möglich, deaktiviert zu lassen.
On-Premises und Pulsar-Agents aktualisieren
Um sicherzustellen, dass Ihre Systeme Up-to-Date sind (da es sich hier um einen nicht standardisierten Updateprozess seitens Windows handelt), empfehlen wir dringend Ihre On-Prem-Instanzen auf den aktuellen Stand zu bringen.
Führen Sie bitte auf dem App-Server das „update.sh“ Skript aus, um das Reporter-Modul zu aktualisieren. Updateanleitung
In diesem Zuge sollten Sie gleich prüfen, ob auch alle Agents auf den aktuellen Stand (Version: 3.2.1) sind. So updaten Sie Ihre Pulsar Agents
Bitte prüfen Sie Ihre Systeme nach erfolgreichen Update auf die CVE 2021-34527 und Updaten Sie Ihre Windows-Umgebungen.
Für Rückfragen stehen wir Ihnen wie gewohnt jeder Zeit zur Verfügung.
Mehr zum Schwachstellenmanagement mit Enginsight
P.S. Die Lage zu der Sicherheitslücke scheint noch nicht ganz klar zu sein. Es gibt aktuell gegenteilige Aussagen von Sicherheitsforschern und Microsoft.
Nachzulesen in diesen beiden Beiträgen:
