Neuer PrintNightmare-Hack: Angreifer können Admin-Rechte erlangen

Die Windows-Schwachstelle PrintNightmare scheint noch nicht vollständig geschlossen worden zu sein. Obwohl Microsoft vor kurzem einen Patch bereitgestellt hat, haben Angreifer die Mög­lich­keit, Admin-Rechte auf einem fremden System zu er­lan­gen und den PC zu übernehmen. Der Hack wurde von Benjamin Delpy entwickelt und von BleepingComputer ausprobiert. Im Test wurde ein PC, auf dem Windows 10 21H1 ausgeführt wird, verwendet. Durch die Installation eines kompromittierten Druckertreibers war es möglich, Zugriff auf den Rechner zu erhalten. Hierzu wurde zunächst ein Druckserver, der über das Internet erreicht werden kann, eingerichtet. Auf dem Server wurde ein manipulierter Treiber, der eine DLL-Datei aufruft, bereitgestellt. Die DLL konnte eine Shell mit Admin-Rechten zum Vorschein bringen.

Kein Login als Administrator erforderlich

Der Angriff funktioniert auch dann, wenn der Nutzer mit einem Konto ohne Admin-Rechte eingeloggt ist. Auch normale Accounts können Treiber von einem entfernten Druckserver installieren. Die Treiber werden dann wie üblich mit System-Rechten ausgeführt.

Die ehemalige Zero-Day-Schwachstelle PrintNightmare wurde im Juni entdeckt und gibt Hackern die Option, Schadcode auf einem entfernten Gerät zum Laufen zu bringen und Privilegien zu erhalten. Kurze Zeit später hat Microsoft ein Sicherheits-Update, das die Lücke schließen sollte, veröffentlicht. Daraufhin haben Sicherheitsforscher allerdings schon herausgefunden, dass der Patch zukünftig unter bestimmten Bedingungen ohne größeren Aufwand umgangen werden könnte.

Immerhin bleibt die bösartige Treiber-Software nicht unbemerkt. Der Windows Defender stuft das Programm als gefährlich ein und gibt eine entsprechende Warnung aus. Dennoch verhindert das Tool erst mal nicht, dass der Treiber installiert und ausgeführt wird.

Exploit durch unterschiedliche Maßnahmen unterbinden

Bis Microsoft das Problem beseitigt hat, können die Nutzer auf verschiedene Workarounds zurückgreifen, um ihren Rechner zu schützen. So kann zum Beispiel der Druckerspooler-Dienst von Windows deaktiviert werden. Eine weitere Möglichkeit besteht darin, den RPC- und SMB-Traffic im Netzwerk zu blockieren, um die Treiber-Installation zu unterbinden. Darüber hinaus lässt sich die Gruppenrichtlinie "Package Point and print - Approved servers" konfigurieren, um ausschließlich Verbindungen zu bestimmten Druckservern zuzulassen.

Siehe auch:

Internet, Sicherheit, Sicherheitslücke, Hacker, Security, Hack, Angriff, Virus, Trojaner, Kriminalität, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hacking, System, Hackerangriff, Internetkriminalität, Hacken, Hacker Angriffe, Hacker Angriff, Attack, Hacks, Gehackt, Crime, Schädling, Hacked, System Hacked Internet, Sicherheit, Sicherheitslücke, Hacker, Security, Hack, Angriff, Virus, Trojaner, Kriminalität, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hacking, System, Hackerangriff, Internetkriminalität, Hacken, Hacker Angriffe, Hacker Angriff, Attack, Hacks, Gehackt, Crime, Schädling, Hacked, System Hacked
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Video-Empfehlungen

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Affiliate-Links, um WinFuture zu unterstützen: Vielen Dank!