Sicherheitslücke Print Nightmare: Windows-Patch schützt nicht vollumfänglich

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu Sicherheitslücke Print Nightmare: Windows-Patch schützt nicht vollumfänglich

Um gegen die Sicherheitslücke Print Nightmare vorzugehen, hat Microsoft jüngst einen Patch für alle Windows-Versionen herausgebracht. Forscher haben nun die Wirksamkeit des Patches getestet und haben herausgefunden, dass immer noch Attacken möglich sind.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

lastpost-right.png
Zurück zum Artikel: Sicherheitslücke Print Nightmare: Windows-Patch schützt nicht vollumfänglich
 
RTFM

Wenden Sie in allen Fällen das Sicherheitsupdate CVE-2021-34527 an. Das Update ändert die vorhandenen Registry-Einstellungen nicht.

Überprüfen Sie nach der Anwendung des Sicherheitsupdates die Registry-Einstellungen, die in der Empfehlung CVE-2021-34527 dokumentiert sind.

Wenn die dokumentierten Registry-Schlüssel nicht vorhanden sind, sind keine weiteren Maßnahmen erforderlich.

Wenn die dokumentierten Registry-Schlüssel vorhanden sind, müssen Sie, um Ihr System zu sichern, bestätigen, dass die folgenden Registry-Schlüssel auf 0 (Null) gesetzt oder nicht vorhanden sind:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht definiert (Standardeinstellung)
UpdatePromptSettings = 0 (DWORD) oder nicht definiert (Voreinstellung)
Zum Vergrößern anklicken....
 
In wie weit ist diese Lücke für den Privatanwender gefährlich? Das ist aus dem Text überhaupt nicht erkennbar.
 
Th3o schrieb:
In wie weit ist diese Lücke für den Privatanwender gefährlich? Das ist aus dem Text überhaupt nicht erkennbar.
Zum Vergrößern anklicken....

Also die Geschichte ist Bedrohungsstufe 3 und wirklich sehr fies. Vorrangig und primär werden erstmal Unternehmen mit den vorhandenen Exploits "abgeklappert". Die Lücke wird aktiv ausgenutzt, dies ist von MS bestätigt. Wir haben in dieser Woche ein 4 Stufiges (sicheres) Konzept entwickelt, um die Probleme des MS Hotfixes zu lösen :

- Einpflegen von drei OUs (Edit, ich meine natürlich Sicherheitsgruppen^^) im Active Directory inkl. GPOs in welche die versch. PCs/Server/etc verschoben werden
- Verknüpfung GPOs mit Powershell-Befehlen
- Einspielen MS Security-Patch über GPO
- Aktivierung ACL auf Servern/Clients mit Druckfunktion
- Deaktivierung Druckfunktion auf Servern/Clients ohne Druckfunktion

Ich würde aktuell auch jeder Privatperson empfehlen, den Druckspooler - wenn nicht benötigt - schlichtweg zu deaktivieren. Unternehmen mit einer fähigen IT sollten bereits aktiv geworden sein, allen anderen ist schnelles Handeln zu empfehlen.

Schönen Freitag noch.
 
Zuletzt bearbeitet von einem Moderator:
Was meinst Du mit "Druckspooler deaktivieren"? Bedeutet das, dass ich nicht mehr lokal Drucken kann oder handelt sich hier nur um Druckerfreigabe für andere Geräte? Ist der Druckspooler für Geräte außerhalb des Heimnetzwerks überhaupt sichtbar? Ich habe auf dem Router keine Ports explizit geöffnet oder weitergeleitet.
 
Wenn der Spooler-Dienst deaktiviert ist, kann man nicht mehr drucken, richtig. Die muss man dann vor dem Drucken immer erst aktivieren.
Zumindest wenn man die standardmäßige Druck-Funktion nutzt, keine Ahnung ob es eine Möglichkeit gibt ohne aktivierten Spooler-Dienst zu drucken.

Hatte diesen Jahrelang bei mir immer deaktiviert - erst mangels Drucker, dann weil ich nur sehr selten etwas drucke. Blöd ist: Mit dem aktuellen Drucker (Netzwerk-Drucker) muss ich diesen immer erst neuinstallieren wenn ich den Spooler-Dienst deaktiviert hatte.
Beim vorherigen Drucker gabs dieses Problem nicht, und das war auch ein Netzwerk-Drucker.
 
Th3o schrieb:
Was meinst Du mit "Druckspooler deaktivieren"? Bedeutet das, dass ich nicht mehr lokal Drucken kann oder handelt sich hier nur um Druckerfreigabe für andere Geräte? Ist der Druckspooler für Geräte außerhalb des Heimnetzwerks überhaupt sichtbar? Ich habe auf dem Router keine Ports explizit geöffnet oder weitergeleitet.
Zum Vergrößern anklicken....
Dienste-Druckwarteschlange->beenden und dann Dienst auf Deaktiviert setzen.

Lokal angebundene Printer (USB) funktionieren dann immer noch.

Völlig irrelevant ob Du Ports im Router auf oder zu hast, ist ja nicht so als wenn wir auf unseren sauteuren Sonicwalls die Türen weit offen lassen. Wenn's nur simple Ports wären, kämen wir nicht ins Schwitzen. Wenn Du dir einen Exploit - von wo auch immer - fängst, geht das Theater auch bei dir los. Kann Ein Link, eine Website, eine exe ala schlachmichtot.exe oder sonst was sein, das dir Code unterjubelt. Das wäre so in etwa der vermutete Einstiegspunkt bei Privatpersonen.

Hier sind alle relevanten Information laborseitig zum nachlesen. Auch wird hier der Impact visuell schön dargestellt - einfach um die Sache weniger "abstrakt" zu machen.

CERT/CC Vulnerability Note VU#383432

Microsoft Windows Print Spooler allows for RCE via AddPrinterDriverEx()
www.kb.cert.org www.kb.cert.org

Schönen Samstag gewünscht...
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Microsoft Patchday: 20 Sicherheitslücken geschlossen
Antworten
0
Aufrufe
39
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Belohnung für Sicherheitslücken
Antworten
0
Aufrufe
30
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Patchday bei Microsoft: vier kritische Sicherheitslücken sollen gestopft werden
Antworten
0
Aufrufe
43
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Vista: Nur 12 Sicherheitslücken in den ersten 6 Monaten
Antworten
0
Aufrufe
27
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Inoffizielle Windows-Patch-Pakete nicht mehr verfügbar
Antworten
0
Aufrufe
29
PCGH-Redaktion
PCGH-Redaktion
Oben Unten
Zurück