Chinesische Sicherheitswissenschaftler haben zufällig einen neuen Windows-Zero-Day namens „PrintNightmare“ entdeckt, der sowohl für die Remote-Codeausführung als auch für die lokale Erhöhung von Berechtigungen ausgenutzt werden kann. Die Forscher von Sangfor Technologies aus Shenzhen veröffentlichten einen Proof-of-Term-Exploit für eine kritische Schwachstelle im integrierten Windows-Druckspooler-Dienst, weil sie dachten, Microsoft hätte sie bereits gepatcht. Es stellt sich heraus, dass Microsoft Anfang Juni einen Patch zur Behebung dieser Schwachstelle (verfolgt als CVE-XNUMX-XNUMX) veröffentlicht hat, obwohl sie zu diesem Zeitpunkt als gering eingestuft wurde. Mitte Juni wurde PrintNightmare jedoch mit einer Sicherheitslücke mit kritischem Schweregrad aktualisiert, da festgestellt wurde, dass sie für die Remote-Codeausführung ausgenutzt werden kann. Erschwerend kommt hinzu, dass der Patch von Microsoft Anfang dieses Monats dieses Problem nicht behoben hat.
Albtraum drucken
PrintNightmare betrifft den Druckspooler, der standardmäßig auf allen Windows-Computern aktiviert ist und der Dienst zur Verwaltung von Druckern oder Druckservern verwendet wird. Bis Microsoft einen Patch zur Behebung dieses Zero-Day-Angriffs veröffentlicht, könnte ein Angreifer heimlich Code auf einem fragilen System ausführen, um ein Benutzerkonto mit geringen Rechten zu einem Administratorkonto mit Rechten auf Systemebene zu machen. Dadurch hätten sie vollen Zugriff auf einen Domain-Supervisor und könnten von dort aus eine ganze Domain übernehmen. Laut einem neuen Weblog-Beitrag des Cybersicherheitsunternehmens Huntress handelt es sich bei PrintNightmare um eine schwerwiegende Sicherheitslücke, die unzählige Windows-Server betrifft. Es wurden mehrere Semestertests in Python und C++ veröffentlicht, und die Wissenschaftler des Unternehmens haben bestätigt, dass diese Schwachstelle problemlos auszunutzen ist. Die Deaktivierung des Druckspoolers schützt zwar Unternehmen vor der Zero-Day-Gefahr von PrintNightmare, bedeutet aber, dass sie nicht drucken können. Die Cybersicherheitsberaterin TrueSec hat eine weitere Lösung entwickelt, die kein Deaktivieren des Druckspoolers erfordert. In einem separaten Blog-Beitrag erklären ihre Wissenschaftler, dass die Beschränkung der Zugriffskontrollen (ACLs) auf das Verzeichnis, das der Exploit zum Löschen bösartiger DLLs verwendet hat, Unternehmen dabei helfen kann, sich selbst zu schützen . alle potenziellen Angriffe, die PrintNightmare Zero-Day ausnutzen. Da PrintNightmare eine ernsthafte Gefahr für Unternehmen darstellt, die Windows-Systeme verwenden, können Sie damit rechnen, dass Microsoft bald einen Patch zur Behebung des Problems veröffentlicht, der möglicherweise sogar vor dem nächsten Patch-Dienstag des Unternehmens verfügbar sein wird.