Update zur K-iS Security Advisory 2021-001 – Kritische Schwachstelle in der Microsoft Windows-Druckerwarteschlange

Eine kritische Sicherheitslücke CVE-2021-34527 in der Windows Druckerwarteschlange gefährdet derzeit Microsoft Betriebssysteme. Ein Update für diese Schwachstelle existiert bisher nicht.

Ein authentifizierter Benutzer kann Schadcode remote über den Dienst „spoolersv.exe“ (Druckerwarteschlange) mit System-Rechten ausführen und somit das Betriebssystem befallen. Diese Lücke ist besonders kritisch, da eine Anleitung zur Durchführung vor kurzem veröffentlicht wurde.

Betroffen sind alle Windows Betriebssysteme (von Windows 7 bis Windows Server 2019).

Empfohlene Lösung

Alle Systeme:

1. Stopp und Deaktivierung des Windows-Dienstes Druckerwarteschlange / Printspooler

Systeme, auf denen Druckdienste benötigt werden (z.B. Clients, Terminalserver, Druckserver, etc.):

1. Windows Updates vom 21.06.2021 und 06.07.2021 installieren
   • HINWEIS: Nach dem Update vom 06.07.2021 kann es zu Problemen mit Treibern kommen. In dem Fall sollte das Update wieder deinstalliert werden. Daher empfehlen wir, die von Microsoft bereitgestellten Updates vom 06.07.2021 auf einer kleinen Anzahl von Systemen zu testen.
2. Bitte prüfen Sie, ob schon bestehende Richtlinien mit Point-and-Print Einstellungen aktiv sind
   • Diese GPOs müssen deaktiviert oder folgendermaßen angepasst werden
3. Neue GPO angelegen, Point-and-Print aktivieren und wie folgt konfigurieren (Computerkonfiguration -> Administrative Vorlagen -> Drucker -> Point-and-Print-Einschränkungen)
   • 
   • Diese Richtlinien allen betroffenen Systemen zuweisen
4. Prüfen, dass folgender Registry-Key nicht gesetzt ist:
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
   • EnableLUA = 0
   • Sollte der Key gesetzt sein, muss dieser auf den Wert 1 geändert werden (auch per GPP möglich)
5. Des Weiteren sollten die Authentifizierten-Benutzer und Domänen-Benutzer aus folgenden Gruppen entfernt werden (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527):
   • Administrators
   • Domain Controllers
   • Read Only Domain Controllers
   • Enterprise Read Only Domain Controllers
   • Certificate Admins
   • Schema Admins
   • Enterprise Admins
   • Group Policy Admins
   • Power Users
   • System Operators
   • Print Operators
   • Backup Operators
   • RAS Servers
   • Pre-Windows 2000 Compatible Access
   • Network Configuration Operators Group Object
   • Cryptographic Operators Group Object
   • Local account and member of Administrators group

   HINWEIS: Entfernen von Usern oder Gruppen aus den Gruppen kann zu anderen Inkompatibilitäten oder Problemen führen.

6. Zusätzlich zu den schon genannten Maßnahmen empfiehlt Microsoft, die Treiberinstallation auf den Systemen auf Administratoren einzuschränken (Registry-Key: RestrictDriverInstallationToAdministrators). Bitte gehen Sie dafür wie im folgenden Artikel beschrieben vor:
   • https://support.microsoft.com/de-de/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

Domänen-Controller:

1. Wird der Domänen-Controller als Printserver eingesetzt und oben genannte Lösung angewendet, kann der folgende Workaround wieder rückgängig gemacht werden:
   • https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/
2. Anschließend sollte die Druckserver-Rolle so bald wie möglich auf ein eigenständiges System migriert werden.

Auch das Bundesamt für Sicherheit in der Informationstechnik warnt vor dieser Sicherheitslücke.

Gerne unterstützen wir Sie bei der Umsetzung des Workarounds oder Migration Ihres Druckerservers. Melden Sie sich dazu bitte bei unserem Support per Mail (support@k-is.com) oder telefonisch (Deutschland: +49 271 31370-30 (Siegen) oder +49 6761 9321-55 (Simmern) | Schweiz: +41-55-536-1020) und vereinbaren einen zeitnahen Termin.

(K-iS Security Advisory 2021-001)