Eine von einem Sicherheitsforscher unabsichtlich preisgegebene Lücke in der Druckerwarteschleife von Windows (Print Spooler) ermöglicht die Übernahme von Windows-Netzwerken aus der Ferne. Die mit dem Beinamen "PrintNightmare" (CVE-2021-34527) versehene Schwachstelle betrifft zudem im Grunde alle Windows-Versionen, weswegen die ungeplante Veröffentlichung auch bei Microsoft Hektik ausgelöst haben dürfte.

Der Redmonder Konzern hat nun reagiert und ein außerplanmäßiges Notfallupdate veröffentlicht. Dieses beendet den "Drucker-Albtraum" – zumindest teilweise.

Patches bis zurück zu Windows 7

Für die aktuellen Ausgaben von Windows 10 (bis Build 2004) trägt das Updatepaket die Kennung KB5004945. Ein Fix wurde aber auch für ältere Ausgaben des Systems, sowie für Windows 8.1, Windows Server 2012 und sogar Windows 7 SP1 und Windows Server 2008 SP2 veröffentlicht.

Die "PrintNightmare"-Lücke kann jedoch auf zwei Arten angegriffen werden. Der Notfallpatch eliminiert einen dieser Angriffsvektoren, nämlich jenen, der es ermöglicht, aus der Ferne Kommandos und Code mit Systemadministrator-Privilegien auszuführen (Remote Code Execution).

Ein Angriff auf lokaler Ebene (Local Privilege Escalation) ist allerdings unter bestimmten Bedingungen weiter möglich. Hierfür ist ein weiterer Patch fällig, der wohl spätestens mit dem nächsten Patchday folgen dürfte.

Darüber hinaus gibt es laut Bleeping Computer aber Möglichkeiten, Angriffe durch Einstellungsänderungen zu unterbinden. So lässt sich etwa die Druckerwarteschleife einfach abschalten, wenn lokal oder über den Server gar nicht gedruckt werden muss, wie es etwa die US Cybersecurity and Infrastructure Security Agency empfiehlt. Alternativ können auch Netzwerkanfragen an den Druckdienst per Gruppenrichtlinie blockiert werden. (gpi, 7.7.2021)