[Update 7.07.21]: Microsoft hat nun die KB5004945, KB5004946 und KB5004947 für Windows 10 21H1 bis runter zur 1507 als Update bereitgestellt. Siehe hier.
[Update 4.07.21]: Microsoft hat einen weiteren Workaround hinzugefügt, um die Sicherheitsanfälligkeit bezüglich der Remotecodeausführung im Windows-Druckspooler zu verringern. Als Alternative zum Deaktivieren des Druckens. Siehe Link unten.
[Original 2.07.21]: Microsoft hat eine Sicherheitslücke entdeckt, die unter der CVE-2021-34527 beschrieben wurde. Die Sicherheitslücke selber wird auch schon ausgenutzt. Microsoft hat einen Workaround bereitgestellt, bis die Lücke durch ein Sicherheitsupdate geschlossen wird.
- Stellen Sie fest, ob der Druckspooler-Dienst ausgeführt wird (als Administrator der Domäne ausführen)
- Führen Sie Folgendes als Administrator der Domäne aus:
- Get-Service -Name Spooler
Wenn der Druckspooler-Dienst ausgeführt wird oder der Dienst nicht deaktiviert ist, wählen Sie eine der folgenden Optionen aus, um entweder den Druckspooler-Dienst zu deaktivieren oder um den eingehenden Remote-Druck über die Gruppenrichtlinie zu deaktivieren:
- Option 1 – Deaktivieren des Druckspooler-Dienstes
- Wenn das Deaktivieren des Print Spooler-Dienstes für Ihr Unternehmen angemessen ist, verwenden Sie die folgenden PowerShell-Befehle:
- Stop-Service -Name Spooler -Force
- Set-Service -Name Spooler -StartupType Disabled
Durch das Deaktivieren des Druckspooler-Dienstes wird die Fähigkeit zum Drucken sowohl lokal als auch remote deaktiviert.
- Option 2 – Deaktivieren des eingehenden Remote-Drucks über die Gruppenrichtlinie
- Die Einstellungen können auch über die Gruppenrichtlinie wie folgt konfiguriert werden:
- Computerkonfiguration / Administrative Vorlagen / Drucker
- Deaktivieren der Richtlinie: „Annahme von Clientverbindungen zum Druckspooler zulassen“
Diese Richtlinie blockiert den Remote-Angriffsvektor, indem sie eingehende Remote-Druckvorgänge verhindert. Das System wird nicht mehr als Druckserver funktionieren, aber lokales Drucken auf einem direkt angeschlossenen Gerät ist weiterhin möglich.
Auf GitHub gibt es noch eine andere Anleitung, die ihr euch durchlesen könnt. (Danke an Chris für den Hinweis)
Habe in die Gruppenrichtlinie gesehen, nicht konfiguriert, dann brauche ich mir ja keine Sorgen zu machen, aber danke für den Hinweis.
Nicht konfiguriert bedeutet Standard und nicht, dass es nicht läuft
gepostet mit der Deskmodder.de-App
Genau das gleiche hatte ich auch gedacht.
So richtig hat Herr Andreas Berger die Anwendung von Gruppenrichtlinien nicht verstanden.
Vielleicht bemerkt er es ja noch.
Nein, so weit bin ich nie ins Windows eingestiegen.
https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/
Restricting the ACLs
The following PowerShell script will do the trick.
$Path = „C:\Windows\System32\spool\drivers“
$Acl = Get-Acl $Path
$Ar = New-Object System.Security.AccessControl.FileSystemAccessRule(„System“, „Modify“, „ContainerInherit, ObjectInherit“, „None“, „Deny“)
$Acl.AddAccessRule($Ar)
Set-Acl $Path $Acl
This will add a Deny rule for the drivers directory and all subdirectories, preventing the SYSTEM account to modify its contents.
If administrators need to perform configuration changes that require the service to write in these directories, this rule can temporarily be removed, and re-added after the change.
To remove the ACL we just added (as commented by u/bclimber):
$Path = „C:\Windows\System32\spool\drivers“
$Acl = Get-Acl $Path
$Ar = New-Object System.Security.AccessControl.FileSystemAccessRule(„System“, „Modify“, „ContainerInherit, ObjectInherit“, „None“, „Deny“)
$Acl.RemoveAccessRule($Ar)
Set-Acl $Path $Acl
This is not a perfect solution, but until a patch is available, it is a way to keep the print server running in cases where it is strictly necessary.
verhindert das wirklich einen lokalen Angriff?
Dann fällt wohl auch das Drucken auch außen an einen entfernen LAN-/IPP-Drucker wohl weg?
Ist diese Sicherheitslücke nur auf Printservern relevant oder sollte man den Workaround auch auf Clients umsetzen?
gepostet mit der Deskmodder.de-App für Android
Do not panic. Vulnerability no compromissed nothing https://www.cvedetails.com/cve-details.php?t=1&cve_id=Cve-2021-34527
Ich lese das anders.
Der Eintrag ist ja erst neu erstellt worden.
Bislang ist das noch nicht geklärt.
Ist das auch gefährlich wenn man gar kein Drucker angeschlossen hat?
Ja, wenn der Drucker Spooler Dienst läuft. Es geht ausschließlich um den Dienst, der eine Schadcodeausführung zulässt. Ob ein Drucker vorhanden ist, spielt dabei keine Rolle.
🔥 Und schon wieder eine neue Lücke im Druckerspooler-Dienst. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481
Abhilfe: Spooler dienst deaktivieren :/
https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-guidance-on-new-windows-print-spooler-vulnerability/
https://www.heise.de/news/Warten-auf-Patches-Neue-Drucker-Luecke-in-Windows-entdeckt-6140346.html?