Sicherheitslücken im Windows Spooler Service finden – seit vielen Jahren steht dies im Fokus von Sicherheitsforschern. Erst Anfang Juni 2021 wurde eine Sicherheitslücke im Microsoft Windows-Druckerspooler (CVE-2021-1675) veröffentlicht, die eine Code-Ausführung aus der Ferne (Remote Code Execution) ermöglicht. Für diese Schwachstelle existiert mittlerweile bereits ein Patch (siehe Microsoft Advisory vom 08. Juni 2021).
Aktuell ist ein neuartiger Exploit Code für eine weitere, bisher noch ungepatchte Zero Day-Sicherheitslücke innerhalb des Windows-Druckerspoolers (CVE-2021-34527) im Umlauf, die unter dem Namen Printer Nightmare bekannt ist (nicht zu verwechseln mit CVE-2021-1675). Dieser Exploit Code sollte ursprünglich auf der diesjährigen Blackhat-Konferenz im August 2021 vorgeführt werden und wurde vermutlich versehentlich bereits vor einigen Tagen veröffentlicht. Kurz nach der Veröffentlichung auf GitHub, wurde der Exploit Code schnell wieder entfernt, jedoch vergisst das Internet bekanntlich nicht – der Exploit Code wurde zuvor bereits entsprechend gecloned, geforked und weiterentwickelt.
Technischer Hintergrund
Durch Ausnutzung der Printer Nightmare-Schwachstelle ist ein authentifizierter Benutzer innerhalb des internen Netzwerks in der Lage, auf einem System beliebigen Schadcode mit System-Rechten auszuführen, um sich dann beispielsweise weiter innerhalb des Netzwerks auszubreiten und weitere Systeme zu kompromittieren. Zur Ausnutzung der Schwachstelle wird eine verwundbare Funktion innerhalb des Windows Spooler-Dienstes verwendet, über die der Angreifer dem Betriebssystem einen maliziösen Treiber unterschiebt, der schließlich mit System-Rechten ausgeführt wird.
Zum aktuellen Zeitpunkt steht seitens Microsoft noch kein Sicherheits-Udate bereit, um die Schwachstelle zu schließen. Der Hersteller empfiehlt daher als Workaround eine grundsätzliche Deaktivierung des Spooler-Dienstes, entweder mittels eines PowerShell-Skripts oder über eine Group Policy (siehe Microsoft-Advisory vom 01.07.2021).
Bewertung der Schwachstelle
Die Printer Nightmare-Schwachstelle wurde seitens Microsoft mit einem Common Vulnerability Scorring System (CVSS)-Wert von 8,8 bewertet. Der im Umlauf befindliche Exploit Code lässt sich nach Einschätzung der Controlware Experten ohne ein tiefgehend technisches Spezialwissen zur Ausführung bringen und stellt somit aus technischer Sicht durchaus ein ernstzunehmendes Risiko für Windows-Systeme mit aktivem Spooler-Dienst dar. Die Gefahr einer Ausnutzung der Schwachstelle wird ein Stück weit dadurch relativiert, dass sich ein Angreifer bereits innerhalb des internen Netzwerks befinden muss, um den Exploit ausführen zu können. Orientiert an den gängigen Security Best Practices, sollten darüber hinaus ohnehin immer alle nicht benötigten Dienste auf IT-Systemen deaktiviert werden.
Diese und weitere Faktoren sollte jedoch grundsätzlich jede Organisation für sich selbst abwägen, um trotz des aktuell fehlenden Sicherheitspatches eine realistische Eintrittswahrscheinlichkeit für einen Angriff zu bestimmen und rechtzeitig etwaige Gegenmaßnahmen einzuleiten. Bei Bedarf unterstützten Sie die Experten der Controlware hierbei gerne.
Allgemeine Empfehlungen
Generell stellt sich nach Bekanntwerden einer Schwachstelle, für die sogar funktionierender Exploit Code im Umlauf ist, die Frage, inwieweit die eigene Organisation möglicherweise bereits Opfer eines solchen Angriffs ist. Eine zentrale Herausforderung zur Beantwortung dieser Frage besteht in der Annahme, dass bereits etablierte Sicherheitslösungen die Ausnutzung neuartiger – bis zu diesem Zeitpunkt unbekannter Schwachstellen – nicht schnell genug vollumfassend erkennen können. Auch die fehlende Transparenz hinsichtlich möglicherweise betroffener Systeme und den System-Verantwortlichkeiten erschwert häufig eine angemessen schnelle Reaktion auf die veränderte Bedrohungslage.
Der fehlenden Transparenz innerhalb des eigenen Netzwerks sollte, idealerweise bereits vor Eintritt eines Sicherheitsvorfalls, durch Etablierung eines systematischen sowie kontinuierlichen Vulnerability Managements entgegengewirkt werden. Zur kurzfristigen Identifizierung von möglicherweise verwundbaren Systemen eigenen sich darüber hinaus netzwerkbasierte sowie hostbasierte ad-hoc Scans, die mit geeigneten Schwachstellen-Scannern durchgeführt werden sollten.
In Ergänzung zu den Vulnerability Scans stellt Threat Hunting eine Methode dar, Angreifer zu identifizieren, die bereits im Netz unterwegs sind und nicht von vorhandenen Detektionsmechanismen erkannt wurden. Im Beispiel Printer Nightmare wird hier gezielt nach der Erstellung von unsignierten Dynamic Link Library (DLL)-Dateien im Driver-Verzeichnis oder nach ungewöhnlichen Child-Prozessen des Druckerspoolers im Verdachtszeitraum gesucht. Genutzt werden für diese gezielten Suchen die Telemetrie-Daten von Endpoint Detection and Response (EDR)-Lösungen zu gestarteten Prozessen, Datei- und Netzwerkzugriffen etc., die kontinuierlich von Clients gespeichert werden.
Managed Security Services wie die Controlware Managed Cyber Defense Services ermöglichen abhängig vom individuell gewählten Leistungsumfang die Erkennung von Cybergefahren, Schwachstellen und Anomalien in Verbindung mit Dienstleistungen zur Analyse, Bewertung und Priorisierung von Security Incidents. Besonderer Schwerpunkt ist unter anderem die ständige Beobachtung der weltweiten aktuellen Bedrohungslage, um Angriffsmuster zu verstehen und die Detektions-Mechanismen kontinuierlich darauf anzupassen.
Kurzfristige Unterstützung benötigt?
Wenn Sie den Verdacht haben, dass Sie bereits Opfer dieses Angriffs wurden oder eine gewisse Sicherheit dahingehend gewinnen wollen, dass Sie nicht betroffen sind, bietet Controlware im Rahmen der eigenen Cyber Defense Services kurzfristig Hilfestellung in Form eines geeigneten Assessments an. Wenden Sie sich hierzu gerne an Ihre bereits bekannten Ansprechpartner oder verwenden Sie bei Bedarf unser Kontaktformular.
