Trotz der zahlreichen Versuche von Microsoft um PrintNightmare erfolgreich zu patchen, ist es noch nicht vorbei. Jetzt wurde eine weitere Sicherheitslücke im PrintNightmare-Druckspooler von Windows 10 aufgedeckt, und zwar Anziehung von Ransomware-Angreifern, die nach einem einfachen Zugriff auf Systemberechtigungen suchen.
Microsoft hat im Juli und August mehrere Patches veröffentlicht, die die Sicherheitsanfälligkeit beheben und den Prozess angepasst, mit dem Benutzer neue installieren können Druckertreiber. Forscher fanden jedoch immer noch eine Problemumgehung, um einen Angriff über eine neuere Druckspooler-Schwachstelle namens CVE-2021-36958 zu starten.
Von ein Beitrag im Microsoft Security Response Center, Microsoft beschreibt die Sicherheitsanfälligkeit: „Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung liegt vor, wenn der Windows-Druckspoolerdienst privilegierte Dateivorgänge nicht ordnungsgemäß ausführt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit SYSTEM-Berechtigungen ausführen. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder neue Konten mit vollen Benutzerrechten erstellen.“
Microsoft listet auch die Problemumgehung für die Sicherheitsanfälligkeit als „Beenden und Deaktivieren des Druckspooler-Dienstes“ auf. Der Angreifer benötigt Administratorrechte, um die erforderlichen Druckertreiber zu installieren; Wenn bereits ein Treiber installiert ist, sind diese Berechtigungen jedoch nicht erforderlich, um einen Drucker anzuschließen. Darüber hinaus müssen keine Treiber auf Clients installiert werden, sodass die Sicherheitsanfälligkeit in allen Fällen angreifbar bleibt, in denen ein Benutzer eine Verbindung zu einem Remote-Drucker herstellt.
Ransomware-Angreifer nutzen die Vorteile natürlich voll aus Exploits laut Bleeping Computer. Magniber, eine Ransomware-Gruppe, wurde kürzlich von CrowdStrike als entdeckt gemeldet in einem Versuch, die ungepatchten Sicherheitslücken gegen südkoreanische Opfer auszunutzen.
Es gibt noch keine Informationen – weder von Microsoft noch anderswo – darüber, ob die PrintNightmare-Sicherheitslücke überhaupt in der Hand ist. Tatsächlich schätzt CrowdStrike, „dass die PrintNightmare-Sicherheitslücke in Verbindung mit der Bereitstellung von Ransomware wird wahrscheinlich weiterhin von anderen Bedrohungsakteuren ausgenutzt werden.“
über Windows Central
