Weitere Infos zum PrintNightmare-Exploit, Einstufung als hohes Risiko

Es gibt neue Informationen zu dem Exploit, der unter dem Namen "PrintNightmare" bekannt wurde und praktisch alle Windows-Geräte betrifft. Microsoft arbeitet derzeit an einer Behebung und stellt nach und nach neue Informationen zu der Schwachstelle bereit. Hinter dem Namen "PrintNightmare" verbirgt sich eine Sicherheitslücke im Windows-Druckdienst, die das Einschleusen kompromittierter Druckertreiber über den "Print Spooler" ermöglicht (wir berichteten). Betroffen sind alle Windows 10-Versionen, einschließlich der Server-Varianten, sowie die älteren Betriebssysteme ab Windows 7. Die Schwachstelle nutzt die ungeschützten Funktionen des Windows Print Spooler-Dienstes, um eine Remote Code Execution (RCE) auszulösen, also um schadhaften Code auf Angriffszielen auszuführen. Workaround: In den Windows-Diensten kann die Druckerwarteschlange deaktiviert werden

Doch nicht ganz so "gefährlich"?

Microsoft hat jetzt weitere Einzelheiten zu PrintNightmare unter CVE-2021-34527 ergänzt. Da heißt es nun unter anderem, dass Microsoft die Sicherheitslücke mit einer CVSS-Basisbewertung (Common Vulnerability Scoring System) von 8,8 versieht. Das liegt noch im Bereich der als hohe Bedrohung eingestuft wird, die Einordnung "kritisch" beginnt bei 9,0 Punkten. Der Basis-Score kann maximal 10,0 betragen. Die US-Sicherheitsbehörde CISA stufte die Schwachstelle übrigens anders als Microsoft selbst als kritisch ein.

Zudem hat Microsoft eine zeitliche Bewertung von 8,2 Punkten vorgenommen. Der temporale Score misst die aktuelle Ausnutzbarkeit einer Schwachstelle basierend auf einer Reihe von Faktoren: Der Basiswert ist 8,8, weil Microsoft festgestellt hat, dass der Angriffsvektor auf Netzwerkebene liegt, eine geringe Angriffskomplexität und geringe Privilegien erfordert, keine Benutzerinteraktion erfordert und zu einem "Totalverlust" der Vertraulichkeit, Integrität und Verfügbarkeit der Ressourcen einer Organisation führen kann. Die zeitliche Bewertung liegt bei 8,2, da funktionaler Exploit-Code im Internet leicht verfügbar ist und über alle Windows-Versionen hinweg funktioniert, detaillierte Berichte darüber existieren und einige offizielle Abhilfemethoden vorgeschlagen wurden.

Abhilfe kommt

Eine ähnliche Sicherheitslücke wurde bereits mit dem Patchday-Update im Juni behoben. Diese hatte einen CVSS-Basis-Score von 7,8. Bis das nächste Update von Microsoft zur Verfügung steht, wurde als Abhilfemaßnahme empfohlen, den Windows Print Spooler-Dienst über die Gruppenrichtlinie zu deaktivieren. Neu hinzugekommen ist die Empfehlung, Mitgliedschaften und die verschachtelte Gruppenmitgliedschaft einiger Entitäten zu überprüfen. Das Unternehmen schlägt vor, die Anzahl der Mitglieder so gering wie möglich zu halten und idealerweise auf Null zu setzen, wenn möglich.

Das Unternehmen warnt jedoch davor, dass das Entfernen von Mitgliedern aus einigen dieser Gruppen zu Kompatibilitätsproblemen führen kann. Um auf dem Laufenden zu bleiben, sollte man das Microsoft Security Response Center nach neuen Informationen zu CVE-2021-34527 durchsuchen.

Siehe auch: Sicherheit, Sicherheitslücke, Leak, Hacker, Security, Malware, Angriff, Hack, Kriminalität, Trojaner, Virus, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hackerangriff, Hacking, Erpressung, Internetkriminalität, Warnung, Darknet, Hacker Angriffe, Hacker Angriff, Hacken, Attack, Ransom, Hacks, Crime, Viren, Gehackt, Schädling, Russische Hacker, China Hacker, Security Report, Malware Warnung, Security Bulletin, Promi-Hacker, Android Malware