Windows Print Spooler Remote Code Execution Vulnerability

Windows Print Spooler Remote Code Execution Vulnerability

Microsoft Security Update Revisions

Es gibt eine Sicherheitsanfälligkeit PrintNightmare im Windows Print Spooler. Veröffentlicht im CVE-2021-34527. Die CISA (Cybersecurity & Infrastructure Security Agency) schreibt, das Admins den Druckdienst deaktivieren sollten und zwar da wo es geht.

Windows Print Spooler Remote Code Execution Vulnerability.

Der Workaround von Microsoft lautet, den Print Spooler (Druckerwarteschlange) bis zum Fix zu deaktivieren. Bei Print-Servern etwas unglücklich, aber da muss individuell entschieden werden.

Windows Print Spooler Remote Code Execution Vulnerability

Per Powershell außerhalb von Domänen:

Get-Service -Name Spooler
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

Als Einzeiler in der Konsole ausführen:

Get-Service -DisplayName “Print Spooler” | Set-Service -Status stopped -StartupType disabled

Disable Print Spooler per Remote

$SRV = “DC1″,”DC2”
Invoke-Command $SRV -ScriptBlock {Stop-Service -Name Spooler -Force} -Credential JW

$SRV = “DC1″,”DC2”
Invoke-Command $SRV -ScriptBlock {Set-Service -Name Spooler -StartupType Disabled} -Credential JW

Innerhalb von Domänen lässt sich das Ganze per Gruppenrichtlinie umsetzen. Aber bitte daran denken, das nach dem Roll-out der Richtlinie der Dienst immer noch läuft. Also muss der GPO auch die Beendigung des Dienstes mitgegeben werden. Wurde in den letzten Tagen oft vergessen!

Hier eine fertige Gruppenrichtlinie zum Download:

Disable Print Spooler

Microsofts neue Risikominimierung lautet

Um die Angriffsfläche zu reduzieren und als Alternative zum Deaktivieren des Druckens, überprüfe die Mitgliedschaft und die verschachtelten Gruppenmitgliedschaften in den unten aufgeführten Gruppen. Versuche, die Mitgliedschaft so weit wie möglich zu reduzieren, oder leeren die Gruppen, wo möglich. Aufgrund von Legacykonfigurationen und Abwärtskompatibilität können einige dieser Gruppen authentifizierte Benutzer oder Domänenbenutzer enthalten, die es jedem in der Domäne ermöglichen würden, den Domänencontroller auszunutzen.

  • Administratoren
  • Domänencontroller
  • Nur Domänencontroller lesen
  • Enterprise Read Only Domänencontroller
  • Zertifikat-Admins
  • Schema-Admins
  • Unternehmens-Admins
  • Gruppenrichtlinien-Admins
  • Hauptbenutzer
  • Systemoperatoren
  • Druckoperatoren
  • Backup-Operatoren
  • RAS-Server
  • Kompatibeler Zugriff vor Windows 2000
  • Netzwerkkonfigurationsoperatoren-Gruppenobjekt
  • Gruppenobjekt für Kryptografieoperatoren
  • Lokales Konto und Mitglied der Gruppe “Administratoren”

Hinweis: Das Entfernen von Mitgliedern aus diesen Gruppen kann zu anderen Kompatibilitätsproblemen führen.

Quelle

BSI-2021-233732_v1.0_IT-SiG_TLPWHITE

Mein umgesetzter Workaround lautet

Neben der Deaktivierung des Dienstes habe ich SYSTEM den Zugriff auf den Ordner C:\Windows\System32\spool\drivers untersagt, also ein Deny ausgesprochen. FERTIG!

Spool Drivers System Set WorkaroundSpool Drivers System deny