Support: +49 (0)209 38642-22        Supportfall melden

Schwachstelle in Windows Drucker Spooler

Der Drucker Spooler ist ein Windows-Dienst, der für das Abarbeiten von Druckaufträgen verantwortlich ist. Bei diesem Vorgang werden ankommende Druckaufträge zunächst zwischengespeichert, um sie anschließend der Reihe nach abwickeln zu können. So können mehrere Druckanweisungen gleichzeitig entgegengenommen werden.

Bereits im Juni wurde eine Sicherheitslücke (CVE-2021-1675) veröffentlicht, die vom Bundesamt für Sicherheit im Internet BSI als kritisch eingestuft wurde. Die Schwachstelle, die auch als PrintNightmare-Exploit bezeichnet wird, ermöglicht es Angreifern, Schadcode in Form von manipulierten Drucker-Treibern einzuschleusen. Dieser kann anschließend mit System-Rechten ausgeführt werden und sich je nach IT-Infrastruktur auf das gesamte Netzwerk verteilen lassen. Betroffen sind die Windows
Versionen 7, 8, mehrere Versionen von Windows 10 und Serverversionen. Laut Microsoft sollte die Bedrohung durch das Einspielen des Juni Updates gebannt sein, was sich aber als falsch herausstellte. Vor wenigen Tagen wurden weitere, neu entdeckte Schwachstellen im Windows Print-Spooler-Dienst öffentlich, die das Umgehen der durch das Update geschlossenen Lücken ermöglichen.

Microsoft reagierte schnell und veröffentlichte seinerseits eine Reihe von außerplanmäßigen Sicherheits-Patches. Aufgrund der großen Gefahr, die von den Schwachstellen ausgeht, hat Windows sogar für Windows 7 Patches herausgegeben, obwohl die Version nicht mehr weiter unterstützt wird und in der Regel keine Updates mehr erhält. Aber auch die Wirksamkeit dieser Notfall-Updates ist eingeschränkt. Ist zum Beispiel Point-and-print aktiviert, sind die Systeme weiterhin ungeschützt. Point-and-print unterbindet unter anderem die Sicherheitswarnung, wenn eine Treiber-Installation durchgeführt werden soll, die den Zugriff auf einen Netzwerkdrucker ermöglicht. Diese Richtlinie ist standardmäßig deaktiviert, kann aber von Administratoren aktiviert worden sein, um den Installationsprozess zu beschleunigen. Administratoren, die sich unsicher sind, können in der Registry den entsprechenden Eintrag prüfen:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

Sollten die folgenden Werte vorhanden sein, sollten sie wie hier auf 0 stehen:

NoWarningNoElevationOnInstall = 0
NoWarningNoElevationOnUpdate = 0
UpdatePromptSettings = 0

Microsoft empfiehlt, Point-and-print standardmäßig zu deaktivieren, da diese Richtlinie die Systeme unabhängig von den aktuellen Sicherheitslücken unsicherer machen. Ist sie deaktiviert beziehungsweise nicht vorhanden, sollen die neu herausgegebenen Notfall-Patches in Kombination mit dem Juni-Update jegliche Bedrohung durch die bis heute bekannten PrintNightmare-Exploits ausschließen. Die Updates können bei einigen Druckern allerdings zu Funktionsstörungen führen. In diesem Zusammenhang wurden besonders häufig Modelle des Herstellers Zebra genannt, der überwiegend Geräte für den B2B Bereich anbietet. Aber auch andere Marken sind betroffen. Kommt es nach dem Einspielen der Updates zu Ausfällen, hilft nur das Zurückspielen des Updates. Microsoft gibt für diese Geräte angepasste Patches heraus.

Wir informieren Sie weiterhin über die neusten Entwicklungen und stehen Ihnen gerne zur Seite. Sprechen Sie uns an.