Noch eine weitere Sicherheitslücke im Druckspooler in Windows

In Windows 10 wurde eine neue PrintNightmare-ähnliche Sicherheitslücke entdeckt, die erneut Probleme für den Druckspooler-Dienst verursacht.

Es waren ein paar harte Wochen in der Welt der Sicherheitslücken in Windows 10. Ein Druckspooler-Problem namens PrintNightmare wurde von einer Gruppe aufgedeckt, die dachte, es sei bereits gepatcht. Microsoft hat einen Out-of-Band-Patch herausgegeben etwas reparieren. Das einzige Problem war, dass das kumulative Update das Problem nicht richtig behoben hat.

Jetzt gibt es einen weiteren Windows-Druckspooler Verletzlichkeit (über BleepingComputer), das wurde entdeckt. Die Sicherheitslücke ist CVE-2021-34481 und die Zusammenfassung lautet wie folgt:

Es besteht eine Sicherheitsanfälligkeit bezüglich der Rechteerweiterung, wenn der Windows-Druckspoolerdienst privilegierte Dateivorgänge nicht ordnungsgemäß ausführt. Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, könnte beliebigen Code mit SYSTEM-Berechtigungen ausführen. Ein Angreifer könnte dann Programme installieren; Daten einsehen, ändern oder löschen; oder erstellen Sie neue Konten mit vollen Benutzerrechten.

Um diese Schwachstelle auszunutzen, muss ein Angreifer in der Lage sein, Code auf dem System des Opfers auszuführen.

Die Problemumgehung für diese Sicherheitslücke besteht darin, den Druckspoolerdienst zu stoppen und zu deaktivieren.

Glücklicherweise scheint dies nicht ganz so schwerwiegend zu sein, wie es PrintNightmare war und immer noch ist. Der Angriffsvektor ist lokal, was bedeutet, dass der Angreifer, der diese Schwachstelle ausnutzt, Zugriff auf die Maschine haben muss. Dies wird jedoch als geringe Angriffskomplexität und geringe erforderliche Berechtigungen aufgeführt.

Microsoft hat nicht gesagt, wann ein Fix für das neue Druckspooler-Problem verfügbar sein wird. Der Patch-Dienstag ist gerade vorbei, daher ist es etwas zu spät, ihn diesen Monat für alle zu reparieren. Das Unternehmen könnte bei Bedarf ein weiteres Out-of-Band-Update veröffentlichen oder das Problem in den optionalen kumulativen Updates dieser Woche beheben.

Wenn Sie glauben, dass Sie von diesem Problem betroffen sein könnten, wird empfohlen, den Druckspoolerdienst herunterzufahren. Dies führt natürlich zu Problemen mit der Möglichkeit, lokal oder remote von Ihrem Computer aus zu drucken. Sie können den Druckspooler herunterfahren, indem Sie die folgenden Befehle in PowerShell ausführen:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled