Update: Microsoft stellt Patches für Windows-Lücke bereit

Update vom 08. Juli 2021: Microsoft hat eine Reihe von Sicherheitspatches veröffentlicht, welche die Sicherheitslücke in PrinterSpooler schliessen sollen. Mehrere betroffene Windows-Versionen erhalten einen Patch für die Bedrohung, die Microsoft mittlerweile als CVE-2021-34527 bezeichnet, darunter auch Windows 7. Die Patches sind auf der Website des Anbieters verfügbar.

Patches für Windows 10, Version 1607, Windows Server 2016 und Windows Server 2012 sollen zeitnah folgen, wie der Anbieter auf seiner Website mitteilt. Laut Microsoft sind prinzipiell alle Windows-Versionen von der Schwachstelle betroffen. Damit diese ausgenutzt werden kann, gebe es jedoch bestimmte Bedingungen im System, die Microsoft nicht weiter ausführt. Admins von Systemen, für die noch kein Patch bereitsteht, sollten diese mit Workarounds absichern, rät "Heise.de", etwa durch Deaktivierung des Printer-Spooler-Service-Systems. Daraufhin sei es jedoch nicht mehr möglich, lokal oder über das Netzwerk zu drucken.

"PrintNightmare" hängt laut Microsoft nicht mit der Schwachstelle CVE-2021-1675 zusammen, obwohl sich die Sicherheitsanfälligkeiten der beiden Lücken ähneln. CVE-2021-1675 sei durch ein Sicherheitsupdate am 8. Juni geschlossen worden. Weiter betont Microsoft, die neue Schwachstelle sei nicht durch jenes Update verursacht worden, sondern habe schon zuvor bestanden. Ein neuerliches Sicherheitsupdate sei bereits in Arbeit. Zum Schweregrad der Bedrohung gibt der Anbieter derzeit noch keine Informationen bekannt.

Originalmeldung vom 05. Juli 2021: Forscher haben Exploit-Code für Windows-Lücke ins Netz gestellt

Eigentlich wollten die Forschenden von Sangfor Technologies den Code für die Windows-Sicherheitslücke CVE-2021-1675 veröffentlichen. Dabei handelte es sich um eine Schwachstelle im Printer-Spooler-Service von Windows, die Microsoft im Juni 2021 geschlossen hatte. Stattdessen landete der Exploit-Code für eine neue Schwachstelle im Netz. Als die Forschenden dies bemerkten, war es bereits zu spät. Der Zero-Day-Exploit, für den noch keine CVE-Nummer existiert, ist seither im Internet unterwegs, wie "Heise" berichtet.

Die neue Lücke, als "PrintNightmare" bezeichnet, befinde sich ebenfalls in Printer Spooler und sei in mehreren Windows-Versionen vorhanden. So seien alle Versionen von Windows 7 bis Server 2019 betroffen. Verschiedene Sicherheitsforscher hätten vollständig gepatchte Systeme mit Windows Server 2019 erfolgreich angegriffen, schreibt "Heise". In weiterer Folge konnten diese mit System-Rechten Schadcodes ausführen. Auf Domain-Servern könnten Angreifer so - vorausgesetzt, sie sind authentifiziert - auf das Netzwerk zugreifen und andere Geräte mit Malware infizieren. Mittels der verwundbaren RpcAddPrinterDriverEx()-Funktion des Windows-Print-Spooler-Service könnten die Angreifenden dem Betriebssystem einen Treiber mit Schadcode unterschieben und diesen mit Admin-Rechten ausführen, heisst es weiter.

Ob es bereits zu Angriffen dieser Art gekommen sei, ist unklar. "Heise" rechnet damit, dass ein entsprechender Patch erst am Patch Day (13. Juli 2021) veröffentlicht wird. Bis dahin sollen System-Administratoren den Print-Spooler-Service deaktivieren.

Seit Ende Juni 2021 warnen Sicherheitsforscher ausserdem vor einer Sicherheitslücke in Dell-Computern. Der Bug befinde sich im BIOS der Software "SupportAssist". Das Problem soll 129 Modelle und über 30 Millionen Dell-Geräte betreffen. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.