Thought Leadership
Die aktuelle kritische Sicherheitslücke, die noch immer IT-Teams umtreibt, trägt den Namen „PrintNightmare“, eine Anspielung auf zwei Sicherheitslücken im Windows Print Spooler-Dienst, CVE 2021-1675 und CVE 2021-34527, die zwischen Juni und Juli 2021 veröffentlicht wurden.
Semperis, Experte für Active Directory-Sicherheit, nimmt das Phänomen unter die Lupe und rät unbedingt dazu, Domain-Controller niemals als Druckserver zu verwenden:
CVE 2021-1675 ist eine gepatchte Sicherheitslücke, die Remotecodeausführung und Privilegienerweiterung auf Servern und Computern ermöglicht, auf denen der Print Spooler läuft. CVE 2021-34527 ermöglicht ebenfalls Remotecodeausführung und Privilegienerweiterung auf demselben Dienst mit etwas anderen Mitteln. (Update vom 6. Juli 2021: Microsoft hat einen Patch für CVE-2021-34527 veröffentlicht.) Zum jetzigen Zeitpunkt ist der genaue Zusammenhang zwischen den beiden Sicherheitslücken unklar. Ebenso unklar ist, ob der Patch unvollständig war oder ob eine andere Angriffsmethode entdeckt wurde.
Das Wichtigste ist jetzt, jeden Windows Print Spooler-Dienst, der auf einem Domain-Controller läuft, zu deaktivieren. Directory Services Protector (DSP) von Semperis enthält Indikatoren, die kontinuierlich nach Gefährdungen und Anzeichen einer Kompromittierung suchen, einschließlich aktivierter Druckspooler auf Domain-Controllern.
Hintergrund zum Print SDpooler
Print Spooler ist ein Windows-Dienst, der standardmäßig in allen Windows-Clients und -Servern aktiviert ist. Der Dienst verwaltet Druckaufträge, indem er Druckertreiber lädt, zu druckende Dateien empfängt, sie in eine Warteschlange stellt, Zeitpläne erstellt und so weiter.
Der Print Spooler-Dienst ist erforderlich, wenn ein Computer physisch mit einem Drucker verbunden ist, der Druckdienste für weitere Computer im Netzwerk bereitstellt. Es ist möglich, Treiber und Software von Drittanbietern zu verwenden (z. B. die von den Druckerherstellern angebotenen), aber viele Unternehmen verlassen sich auf den standardmäßigen Print SDpooler-Dienst.
Auf Domain-Controllern werden Druckspooler hauptsächlich für das Pruning von Druckern verwendet, also das Entfernen von Druckern, die in Active Directory veröffentlicht wurden und im Netzwerk nicht mehr verfügbar sind. Das Pruning von Druckern ist besonders in größeren Umgebungen mit vielen Druckern wichtig, da es die für Domain-Benutzer verfügbare Druckerliste „bereinigt“. Damit dieser Ansatz funktioniert, muss jedoch eine entsprechende Gruppenrichtlinie vorhanden sein.
Aus der Sicherheitsperspektive sind der Windows Print Spooler und Drucker im Allgemeinen schon seit vielen Jahren ein beliebtes Ziel für Angreifer. Der Stuxnet-Wurm aus dem Jahr 2010, der gegen iranische Atomanlagen eingesetzt wurde, nutzte eine Schwachstelle in diesem Dienst aus, um Privilegien zu erweitern und Malware im Netzwerk zu verbreiten. Dieselbe Schwachstelle im Print Spooler tauchte 2020 wieder auf, als Forscher neue Möglichkeiten entdeckten, sie auszunutzen. In Kombination mit der Tatsache, dass Drucker notorisch hackbar sind, ist es vielleicht an der Zeit, die Umstellung auf das papierlose Büro konsequenter anzugehen.
Zero-Day-Bug PrintNightmare
Die Iteration der Print Spooler-Schwachstelle im Juni 2021 begann mit Microsofts Patch Tuesday im Juni 2021, der einen Patch für CVE 2021-1675 enthielt. Microsoft stufte zu diesem Zeitpunkt diese als eine Schwachstelle zur Privilegienerweiterung mit einem CVSS-Wert von 6,8 (mittleres Risiko) als „weniger wahrscheinlich“ ein. Microsoft aktualisierte diese CVE am 21. Juni, um Remotecodeausführung miteinzuschließen, und erhöhte den CVSS-Score auf 7,8 (hohes Risiko). Ein paar Tage später tauchte PoC-Exploit-Code auf GitHub auf. Der Code wurde schnell offline genommen, wurde aber bereits mehrfach geforkt.
Am 30. Juni stellte sich heraus, dass der Patch nicht ausreichend war. Vollständig gepatchte Systeme waren immer noch anfällig für Remotecodeausführung und Privilegienerweiterung auf SYSTEM. Der ursprüngliche Exploit-Code wurde modifiziert, sodass der Patch nur bedingt wirksam war. Am 1. Juli erfasste Microsoft eine neue Sicherheitslücke, CVE 2021-34527. (6. Juli 2021 – Microsoft veröffentlichte einen Patch).
Aufschlüsselung der Sicherheitsanfälligkeit von Print Spooler
Die Sicherheitsanfälligkeit bei Print Spooler für entfernte Codeausführung nutzt den Funktionsaufruf RpcAddPrinterDriver im Print Spooler-Dienst aus. Dieser Funktionsaufruf ermöglicht es Clients , beliebige DLL-Dateien als Druckertreiber hinzuzufügen und sie als SYSTEM (den Kontext des Spooler-Dienstes) zu laden.
Die Funktion ist so konzipiert, dass Benutzer Drucker aus der Ferne aktualisieren können – zum Beispiel der IT-Mitarbeiter, der den brandneuen Bürodrucker aus der Ferne installiert. Ein logischer Fehler in der Funktionsweise ermöglicht es jedoch jedem Benutzer, seine eigene unsignierte DLL in den Prozess einzuschleusen und so die Authentifizierung oder Validierung der Datei zu umgehen.
Entschärfung von PrintNightmare
Am siebten Juli hat Microsoft hat einen Patch für CVE 2021-34527 veröffentlicht. Es wird weiterhin empfohlen, den Print Spooler zu deaktivieren, wenn er nicht benötigt wird.
Administratoren können den Print Spooler-Dienst für alle ihre Domain-Controller (oder für jeden anderen Computer) deaktivieren, indem sie entweder die Gruppenrichtlinien-Einstellung unter Computerkonfiguration\Windows-
Eine zusätzliche, inoffizielle Abhilfemaßnahme besteht darin, den Zugriff auf den Treiberordner zu beschränken, aus dem der Dienst geladen wird. Dies müsste auf jedem Server durchgeführt werden und ist derzeit nicht vollständig getestet worden, daher erfolgt die Verwendung auf eigene Gefahr.
Schutz von Domain-Controllern
Domain-Controller sollten niemals als Druckserver verwendet werden. Der einzige legitime Grund, um den Print Spooler auf einem Domain-Controller laufen zu lassen, ist das oben erwähnte Drucker-Pruning. Zusätzlich zu den zahlreichen Schwachstellen in Windows Print Spooler ermöglicht ein Angriffsvektor gegen diesen Dienst, als „the printer bug“ bekannt, einem Angreifer, der eine Ressource mit uneingeschränkter Kerberos-Delegation kompromittieren kann, auch den Domain-Controller mit SYSTEM-Rechten zu kompromittieren.
Kontinuierliche Überwachung auf Sicherheitslücken wie PrintNightmare
Wir sehen mittlerweile wöchentlich neue Schwachstellen in häufig genutzten IT-Infrastrukturen. Die kurzen Zykluszeiten von der Aufdeckung bis zur Nutzung der Schwachstellen als Angriffsmittel erfordern schnelle Schutzmaßnahmen, die eine kontinuierliche Überwachung der Umgebung in Kombination mit der Festlegung von Prioritäten und der Bereitstellung von Informationen zur Behebung der Schwachstellen umfassen.
www.semperis.com
