Wichtiger Sicherheitshinweis zum Windows Spooler

Windows Print Spooler als Eintrittspforte für Schadsoftware!

Eine Schwachstelle im Windows Print Spooler kann vom sogenannten „PrintDemon“ für die Unterwanderung der Ausführungsrechte von Druckaufträgen genutzt werden. Die Folge ist das Einschleusen von Schadsoftware, um das Dateisystem des Servers zu korrumpieren, indem dann beliebige Daten darin abgelegt werden.

Dieser „PrintDemon“ ist vereinfacht gesagt eine Anzahl von privilegierten PowerShell-Befehlen und ist für alle Windows-Versionen seit 1996 eine Gefahr.

Manche Schwachstellen überleben lange Zeit unbemerkt in der Tiefe des Betriebssystems. Eine davon ist der Microsoft Spooler, der ganz aktuell zum Sorgenkind der Systemadministratoren geworden ist. Ironischerweise ist der Druckspooler wohl eine der ältesten Windows-Komponenten, die seit Windows NT 4 weitgehend unverändert blieb.

Dieses Schattendasein wird dem Spooler nun zum Verhängnis, da es möglich ist, mit einer Handvoll einfacher Befehlszeilen die eigentliche Druckfunktion auszuhebeln und für das Einschleusen von schädlichem Code zu missbrauchen. Ziel ist es, mit den vorhanden Berechtigungen unbemerkt einen neuen Drucker anzulegen und über die Funktion „In Datei drucken“ Daten im Dateisystem zu überschreiben oder neu zu erstellen.

Diese Sicherheitslücke wurde von zwei Sicherheitsforschern von SafeBreach Labs entdeckt und als PrintDemon beschrieben. Weitere Details dazu findet man im Security Update von Microsoft CVE-2020-1048.

Das Gefahrenpotenzial des Lecks ist zum Glück dadurch limitiert, dass die Schwachstelle nicht aus der Ferne ausnutzbar ist. Ein Angreifer muss entweder direkt oder über ein lokales Netzwerk auf das System zugreifen können. Betroffen sind alle Windows-Ausgaben seit 1996, beginnend mit Windows NT 4.

Wie funktioniert der PrintDemon, der sich im Dienst für die Druckerwarteschlangen von Windows versteckt?

Normalerweise ist dieser dafür zuständig, Daten per Druckports, parallelen Schnittstellen oder per USB an einen Drucker zu schicken. Es existiert jedoch auch die Variante, den Druckdatenstrom in eine lokale Datei zu versenden.
Und genau hier setzt der PrintDemon an: Anstatt einer Textdatei wird eine DLL erstellt, die von einer anderen App verwendet wird.

Bringt man im Anschluss den Spooler zum Absturz (was viel schwieriger klingt, als es in Realität ist), kann der Druckauftrag anschließend mit vollen Rechten fortgesetzt werden. Dies kann dann dafür verwendet werden, um neue Konten mit administrativen Rechten anzulegen oder beliebig viele Dateien im System zu überschreiben.

Theoretisch kann das jeder angemeldete Benutzer mit seinen (wenigen) Rechten. Da der PrintDemon eine Schwachstelle in der WMI Schnittstelle verwendet, kann man es in der Microsoft PowerShell einfach nachvollziehen:

Add-PrinterPort -Name „c:\windows\system32\beispiel.dll“

Add-Printer -Name „PrintDemon“ -DriverName „Generic / Text Only“ -PortName “ c:\windows\system32\beispiel.dll“

So wurde nun mit dem PrintDemon eine potentielle Hintertür in das System eingebaut, durch die gefährlicher Code gedruckt werden kann, der nach dem Spooler Absturz mit administrativen Rechten ausgeführt wird.

Abhilfe

Die gute Nachricht – der Patch für diese Lücke ist im Mai Update von Microsoft Windows enthalten. Führen Sie das Update auf jeden Fall durch!

Denn durch das Bekanntwerden dieser Schwachstelle ist der Missbrauch sehr wahrscheinlich.

Wichtig zu wissen: Die von uns entwickelte Software PrinTaurus wird dadurch nicht beeinträchtig.

Die schlechte Nachricht – dieses Update steht nur noch für die im Support befindlichen Version von Windows zur Verfügung!

Sollten außerdem bereits entsprechende Schad-Ports angelegt worden sein, funktionieren diese weiterhin!

Überprüfen Sie daher in der PowerShell oder in der Windows Registry, ob Ports mit seltsamen Erweiterungen wie .DLL oder .EXE angelegt sind! Sollte dies der Fall sein, wenden Sie sich sofort an die IT-Abteilung oder zuständigen Administrator!

Zusätzlich helfen wir Ihnen gerne mit unserem langjährigen Know-how und stellen Ihnen zur Überprüfung und Sicherheit einen LocalPortChecker für den Windows Spooler zur Verfügung!

r

Hinweis

Sie benötigen für die Ausführung des Programms (EXE-Datei) im Netzwerk Administrator-Rechte! Es wird außerdem das aktuelle .NET Framework benötigt.