Rechenzentrum
Achtung: Zero Day Exploit bei allen Windows Versionen
2. Juli 2021, von ServiceLine
Aktuell existiert eine Zero Day Lücke im Windows Spooler-Dienst (Druckwarteschlange-Dienst) auf allen Windows Server und Client Betriebssystemversionen, über die sich ein authentifizierter Nutzer auch remote SYSTEM-Rechte beschaffen kann. Die Lücke wird vom BSI <https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-233732-1132_csw.html> als "geschäftskritisch" eingestuft, da es bisher keinen Patch von Microsoft gibt, aber bereits Videos mit Anleitungen zum Ausnutzen der Verwundbarkeit kursieren.
Microsoft hat einen entsprechenden CVE-Artikel veröffentlicht: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Ein Heise Artikel mit allgemeinen Details findet sich unter https://heise.de/-6124838
Beispielhaft findet sich in einem Blogeintrag eine technische Beschreibung unter https://blog.truesec.com/2021/06/30/exploitable-critical-rce-vulnerability-allows-regular-users-to-fully-compromise-active-directory-printnightmare-cve-2021-1675/
Dass RRZ empfiehlt allen IT-Administrator*innen dringend, auf allen Servern den Spoolerdienst umgehend zu beenden und dann den Dienst auf "Deaktiviert" zu stellen. Da es sich hierbei um eine Härtungsmaßnahme handelt, sollte dies auch unabhängig von der Schwachstelle dauerhaft so bleiben.
Auf allen Servern auf denen der Druckwarteschlange-/Spoolerdienst benötigt wird bzw. auf allen Windows Clients, ist bis zur Verfügbarkeit eines wirksamen Patches, nach Abwägung der jeweiligen Auswirkungen und Risiken, ein Workaround zur Beschränkung der Zugriffsrechte auf C:\Windows\System32\spool\drivers anzuwenden (beispielhaft: https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/)
Zusätzlich sollte in Betracht gezogen werden, per Windows-Firewall den Zugriff auf den Druckwarteschlange-/Spoolerdienst über das Netzwerk zu unterbinden, auch um die Ausbreitung einer Infektion (insbesondere im Heimnetz) zu verhindern. In AD-verwalteten Umgebungen kann dies auch zentral per GPO erfolgen (beispielhafter Screenshot: https://blog.truesec.com/wp-content/uploads/2021/07/PrintNightmare-CVE-2021-1675-workaround-GPO-1024x568.png). Auch das Beenden und Deaktivieren des Dienstes lässt sich dort per GPO steuern (Stichworte: "Sicherheitseinstellungen => Systemdienste" und "Systemsteuerungseinstellungen" => "Dienste").
Sobald Microsoft einen Patch bereitstellt, wird dieser auch sofort im zentralen WSUS des RRZ mit einer sofortigen Installationsdeadline freigegeben.