July 25, 2021

Neuer Windows-Druckspooler Zero Day, der über Remote-Druckserver ausnutzbar ist

Eine weitere Zero-Day-Schwachstelle in Windows Print Spooler kann einem Angreifer über einen Remote-Server unter der Kontrolle des Angreifers und die Funktion „Warteschlangenspezifische Dateien“ Administratorrechte auf einem Windows-Rechner verleihen.

Letzten Monat enthüllte ein Sicherheitsforscher versehentlich eine Zero-Day-Windows-Druckspooler-Schwachstelle namens PrintNightmare, die Microsoft als CVE-2021-34527 verfolgt.

Die Ausnutzung dieser Sicherheitsanfälligkeit ermöglicht es einem Bedrohungsakteur, die Berechtigungen auf einem Computer zu erhöhen oder Code aus der Ferne auszuführen.

Microsoft hat ein Sicherheitsupdate veröffentlicht, um die Sicherheitsanfälligkeit zu beheben, aber die Forscher stellten fest, dass der Patch unter bestimmten Bedingungen umgangen werden könnte.

Seit dem unvollständigen Fix haben Sicherheitsforscher die Windows-Druck-APIs gründlich unter die Lupe genommen und weitere Sicherheitslücken im Windows-Druckspooler gefunden.

Bei Angriff verwendeter Remote-Druckserver

Sicherheitsforscher und Mimikatz-Erfinder Benjamin Delpy hat eine neue Zero-Day-Schwachstelle öffentlich bekannt gegeben, die es einem Bedrohungsakteur ermöglicht, auf einem Windows-Rechner über einen Remote-Druckserver unter seiner Kontrolle einfach SYSTEM-Privilegien zu erlangen.

In einem Gespräch mit BleepingComputer sagte Delpy, dass sein Exploit die “Queue-Specific Files”-Funktion der Point-and-Print-Funktion von Windows verwendet, um automatisch eine bösartige DLL herunterzuladen und auszuführen, wenn ein Client eine Verbindung zu einem Druckserver unter der Kontrolle eines Angreifers herstellt.

“Bei der Druckerinstallation kann eine vom Hersteller bereitgestellte Installationsanwendung einen Satz von Dateien jeden Typs angeben, die einer bestimmten Druckwarteschlange zugeordnet werden sollen”, erklärt Microsofts Dokumentation zur Funktion “Warteschlangenspezifische Dateien”.

“Die Dateien werden auf jeden Client heruntergeladen, der sich mit dem Druckserver verbindet.”

Um die Sicherheitsanfälligkeit auszunutzen, erstellte der Forscher einen über das Internet zugänglichen Druckserver mit zwei freigegebenen Druckern, die die warteschlangenspezifische Dateifunktion verwenden.

Warteschlangenspezifische Dateiregistrierungskonfiguration
Warteschlangenspezifische Dateiregistrierungskonfiguration
Quelle: Delpy

Wenn die bösartige DLL ausgeführt wird, wird sie mit SYSTEM-Rechten ausgeführt und kann verwendet werden, um jeden Befehl auf dem Computer auszuführen.

Will Dormann, ein Schwachstellen-Analyst für CERT/CC, hat ein Advisory zu dieser Schwachstelle veröffentlicht, das weitere Informationen enthält.

„Während Windows erzwingt, dass Treiberpakete selbst von einer vertrauenswürdigen Quelle signiert werden, können Windows-Druckertreiber warteschlangenspezifische Dateien angeben, die mit der Verwendung des Geräts verknüpft sind CopyFiles Direktive für beliebige ICM-Dateien”, erklärt das neue CERT-Advisory.

“Diese Dateien, die mit den durch digitale Signatur erzwungenen Druckertreiberdateien kopiert werden, sind nicht von jeglicher Unterschriftspflicht abgedeckt. Das heißt, jede Datei kann über die Point-and-Print-Druckertreiberinstallation auf ein Client-System kopiert werden, wo sie von einem anderen Drucker mit . verwendet werden kann SYSTEM Privilegien.”

“Dies ermöglicht LPE auf einem anfälligen System.”

Was diese Sicherheitsanfälligkeit so gefährlich macht, ist, dass sie alle aktuellen Windows-Versionen betrifft und es einem Bedrohungsakteur ermöglicht, begrenzten Zugriff auf ein Netzwerk zu erhalten und sofort SYSTEM-Berechtigungen auf dem anfälligen Gerät zu erlangen.

Mit diesem Zugriff können sich Bedrohungsakteure seitlich im Netzwerk ausbreiten, bis sie Zugriff auf einen Domänencontroller erhalten.

Ein Video, das diesen Angriff demonstriert, wurde mit BleepingComputer geteilt und unten angezeigt.

Delpy hat einen öffentlich zugänglichen Remote-Druckserver erstellt mit dem die oben gezeigte Schwachstelle getestet werden kann.

Minderung der neuen Drucker-Schwachstelle

Die gute Nachricht ist, dass Delpy und Dormann zwei Methoden geteilt haben, die verwendet werden können, um diese neue Schwachstelle „Warteschlangenspezifische Dateien“ zu verringern.

Beide Methoden werden im CERT-Advisory beschrieben.

Option 1: Blockieren Sie ausgehenden SMB-Datenverkehr an Ihrer Netzwerkgrenze

Da der öffentliche Exploit von Delpy einen Remote-Druckserver verwendet, können Sie ausgehenden SMB-Datenverkehr blockieren, um den Zugriff auf den Remote-Computer zu verhindern.

Dormann gibt jedoch an, dass MS-WPRN auch zur Installation von Treibern ohne SMB verwendet werden kann und Bedrohungsakteure diese Technik immer noch mit einem lokalen Druckerserver verwenden könnten.

Daher ist diese Risikominderung keine ausfallsichere Methode zum Blockieren des Exploits.

Option 2: PackagePointAndPrintServerList konfigurieren

Ein besserer Weg, um diesen Exploit zu verhindern, besteht darin, Point and Print mithilfe der Gruppenrichtlinie ‘Point and print – Genehmigte Server’ auf eine Liste genehmigter Server zu beschränken.

Paketpunkt und Druck – Gruppenrichtlinie für genehmigte Server
Paketpunkt und Druck – Gruppenrichtlinie für genehmigte Server

Diese Richtlinie verhindert, dass Benutzer ohne Administratorberechtigung Druckertreiber mithilfe von Point and Print installieren, es sei denn, der Druckserver befindet sich in der Liste der genehmigten.

Die Verwendung dieser Gruppenrichtlinie bietet den besten Schutz vor dem bekannten Exploit.

BleepingComputer hat Microsoft bezüglich des Problems kontaktiert, aber keine Rückmeldung erhalten.