Völlig ausgeliefert - Microsoft hat aktuell keinen Patch für diese Lücke
Derzeit haben Angreifer ein leichtes Spiel, da Microsoft aktuell noch kein Patch zur Verfügung gestellt hat gibt es lediglich einen Workaround für Systemadmins um sich vor Attacken zu schützen. Dies ist jedoch mit einiger Arbeit verbunden. Eine Möglichkeit wäre den gesamten Spoolerdienst zu deaktivieren. Wenn du noch mehr darüber wissen möchtest, schreib uns einfach kurz eine E-Mail.
Systemrechte erschleichen durch Schadcode
Wo genau liegt das Problem? Also kurz gesagt beim Drucker Spoolerdienst von Windows. Die Sicherheitslücke ist massiv und erstreckt ich von Windows 7 SP1 bis Windows Server 2019. Auch wenn alle aktuell verfügbaren Servicepacks und Patches von Microsoft installiert wurden konnten sogar mehrere Sicherheitsforscher die vollständig gepatchten Systeme erfolgreich attackieren. Das Ergebnis war volle Systemrechte zu erlangen. Die Konsequenzen sind fatal wenn das zum Beispiel auf einem Domain Controller passiert, da sich die Angreifer im gesamten Netzwerk ausbreiten können und somit auch alle anderen im Netzwerk befindlichen Computer mit Malware infizieren können.
Die Carnegie Mellon University veröffentlichte einen Bericht wobei ein Angreifer für eine erfolgreiche Attacke jedoch angemeldet sein muß. Ist das gegeben kann aber relativ einfach die Funktion RpcAddPrinterDriver() des Windows Druckerdienst mit einem präparierten Druckertreiber kompromittiert werden. Der Code in diesem Druckertreiber wird dann mit Systemrechten ausgeführt.
Das war der Grund hierfür
Microsoft hatte bereits im Juni eine ähnliche Sicherheitslücke (CVE-2021-1675, „hoch“) im Druckerdienst geschlossen. Da alle relevanten Sicherheitsforscher von einem kritischen Bug sprechen ist diese Lücke absolut ernst zu nehmen. Die Schwachstelle wurde von Microsoft aber noch mit keiner CVE Nummer oder Einstufung versehen – es wird jedoch daran gearbeitet um so schnell wie möglich eine Lösung dafür zu finden.
Die Veröffentlichung des Exploit Codes ist versehentlich passiert. Geschehen ist das für die Vorbereitung für einen Vortrag über Druckerdienst Fehler auf einer bevorstehenden Hacker Konferenz im August 2021. Erst danach wurde festgestellt, das der veröffentlichte Code überhaupt nicht für die bereits geschlossene Lücke, sondern für eine bereits neue Schwachstelle ist. Zu diesem Zeitpunkt war es aber leider schon zu spät, da der Schadcode bereits im Netz kursierte.