Neuer PrintNightmare-Hack:
Angreifer können Admin-Rechte erlangen
BleepingComputer ausprobiert. Im Test wurde ein PC, auf dem Windows 10 21H1 ausgeführt wird, verwendet. Durch die Installation eines kompromittierten Druckertreibers war es möglich, Zugriff auf den Rechner zu erhalten. Hierzu wurde zunächst ein Druckserver, der über das Internet erreicht werden kann, eingerichtet. Auf dem Server wurde ein manipulierter Treiber, der eine DLL-Datei aufruft, bereitgestellt. Die DLL konnte eine Shell mit Admin-Rechten zum Vorschein bringen.
Die ehemalige Zero-Day-Schwachstelle PrintNightmare wurde im Juni entdeckt und gibt Hackern die Option, Schadcode auf einem entfernten Gerät zum Laufen zu bringen und Privilegien zu erhalten. Kurze Zeit später hat Microsoft ein Sicherheits-Update, das die Lücke schließen sollte, veröffentlicht. Daraufhin haben Sicherheitsforscher allerdings schon herausgefunden, dass der Patch zukünftig unter bestimmten Bedingungen ohne größeren Aufwand umgangen werden könnte.
Immerhin bleibt die bösartige Treiber-Software nicht unbemerkt. Der Windows Defender stuft das Programm als gefährlich ein und gibt eine entsprechende Warnung aus. Dennoch verhindert das Tool erst mal nicht, dass der Treiber installiert und ausgeführt wird.
Der Hack wurde von Benjamin Delpy entwickelt und von Kein Login als Administrator erforderlich
Der Angriff funktioniert auch dann, wenn der Nutzer mit einem Konto ohne Admin-Rechte eingeloggt ist. Auch normale Accounts können Treiber von einem entfernten Druckserver installieren. Die Treiber werden dann wie üblich mit System-Rechten ausgeführt.Die ehemalige Zero-Day-Schwachstelle PrintNightmare wurde im Juni entdeckt und gibt Hackern die Option, Schadcode auf einem entfernten Gerät zum Laufen zu bringen und Privilegien zu erhalten. Kurze Zeit später hat Microsoft ein Sicherheits-Update, das die Lücke schließen sollte, veröffentlicht. Daraufhin haben Sicherheitsforscher allerdings schon herausgefunden, dass der Patch zukünftig unter bestimmten Bedingungen ohne größeren Aufwand umgangen werden könnte.
Immerhin bleibt die bösartige Treiber-Software nicht unbemerkt. Der Windows Defender stuft das Programm als gefährlich ein und gibt eine entsprechende Warnung aus. Dennoch verhindert das Tool erst mal nicht, dass der Treiber installiert und ausgeführt wird.
Exploit durch unterschiedliche Maßnahmen unterbinden
Bis Microsoft das Problem beseitigt hat, können die Nutzer auf verschiedene Workarounds zurückgreifen, um ihren Rechner zu schützen. So kann zum Beispiel der Druckerspooler-Dienst von Windows deaktiviert werden. Eine weitere Möglichkeit besteht darin, den RPC- und SMB-Traffic im Netzwerk zu blockieren, um die Treiber-Installation zu unterbinden. Darüber hinaus lässt sich die Gruppenrichtlinie "Package Point and print - Approved servers" konfigurieren, um ausschließlich Verbindungen zu bestimmten Druckservern zuzulassen.Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Sicherheit & Backup:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen