BASYS Security Alert
  1. IT-SPEZIALISTEN aus Bremen seit über 30 Jahren > 
  2. Über BASYS > 
  3. BASYS IT-Blog

BASYS Security Alert | PrintNightmare-Schwachstelle

Im Printer-Spooler-Service von Windows ist eine Sicherheitslücke namens PrintNightmare bekannt geworden, die bereits von Angreifern ausgenutzt wird.

Durch die Ausnutzung der Schwachstelle "PrintNightmare" im Printer-Spooler-Service von Windows könnten Angreifer Schadcodes mit System-Rechten ausführen, sich im Netzwerk ausbreiten und weitere Computer mit Malware infizieren.

Betroffene Versionen:

  • alle unterstützten Windows-Versionen von Windows 7 SP1 bis Windows 10 21H1 und Windows Server 2019

Da auch die Domain-Controller von der Sicherheitslücke betroffen sind, sollten Sie Ihre Systeme temporär über eine Übergangslösung schützen, bis es ein offizielles Sicherheitsupdate von Microsoft gibt. Gegebenenfalls wird dieses Update am Patchday (13.7) veröffentlicht.

Wir empfehlen, eine der drei Optionen für den Workaround durchzuführen, um das System abzusichern:

  1. Führen Sie die folgenden Befehle als Domain-Admin aus:
    Get-Service -Name Spooler
    Wenn der Service läuft, deaktivieren Sie ihn mit den Befehlen:
    Stop-Service -Name Spooler -Force
    Set-Service -Name Spooler -StartupType Disabled
    Hinweis: Anschließend kann man nicht mehr lokal oder über das Netzwerk drucken!
  2. Den Service können Sie auch über Gruppenrichtlinien deaktivieren, sodass das System nicht mehr als Drucker-Server dient. Dadurch können Sie immer noch lokal drucken.
    Drücken Sie die Windows-Taste und geben "gpedit.msc" ein, um den Editor für die lokalen Gruppenrichtlinien aufzurufen. Unter "Computerkonfiguration", "Administrative Vorlagen", "Drucker" finden Sie dann den Punkt "Annahme von Client-Verbindungen zum Druckspooler zulassen". Nach einem Rechtsklick wählen Sie "Bearbeiten" aus und wählen die Option "Deaktiviert" aus.
    Um die Gruppenrichtlinie zu aktivieren, müssen Sie den Dienst danach einmal neu starten. Drücken Sie dafür auf die Windows-Taste und geben "services.msc" ein, um die Diensteinstellungen zu öffnen. Suchen Sie den Eintrag "Druckerwarteschlange", klicken Sie diesen an und schließlich in der linken Spalte "Den Dienst neu starten".
  3. Die Exploits platzieren bösartige DLLs im Verzeichnis C:\Windows\System32\spool\drivers. Wenn man nun mit ACLs dem SYSTEM-Benutzer verbietet, dieses Verzeichnis zu verändern, scheitern Angreifer damit und das System wird nicht kompromittiert. Die Sicherheitsfirma Truesec stellt in ihrem Blog-Beitrag ein kleines Powershell-Skript bereit, das diese Einstellung vornimmt. Dieser temporäre Workaround stellt die schwächste Form der Absicherung dar, jedoch ist er allemal besser als das System aktuell offenzulassen.

Weitere Informationen finden Sie außerdem auf der Support-Seite von Microsoft:

Zurück