Microsoft fordert Benutzer auf, das Drucker-Spooling auszuschalten, um sich vor Zero-Day-Exploit zu schützen

Eskere Guru

Microsoft hat eine Reihe von Abschwächungsmaßnahmen gegen einen Zero-Day-Exploit erlassen, sagt das Technologieunternehmen: "Angreifer nutzen das aktiv aus."

Der Zero-Day-Exploit, bekannt als PrintNightmare , nutzt eine Schwachstelle im Windows-Druckspooler aus und könnte einem Angreifer ermöglichen, Code aus der Ferne auszuführen.

Obwohl es keine spezifische Lösung für PrintNightmare gibt, enthält die Empfehlung von Microsoft zwei Optionen, die Benutzer bereitstellen können, um ihr System vor dem potenziell gefährlichen Exploit zu schützen.

PrintNightmare ist der Druckjob aus der Hölle

Der Druckspooler ist ein Windows-Softwaredienst, der die Druckprozesse Ihres Systems verwaltet. Wenn Sie auf Drucken klicken, übernimmt der Spooler den eingehenden Druckauftrag von der Software (oder dem Betriebssystem) und stellt sicher, dass der Drucker und seine Ressourcen (Papier, Tinte usw.) einsatzbereit sind. Wenn Sie mehrere Druckaufträge senden, stellt der Spooler diese in die Warteschlange und verwaltet die Druckausgabe.

Der Druckspoolerdienst hat Zugriff auf das gesamte System. Auch wenn es harmlos klingt, kann es einen solchen Dienst zu einem Ziel für Angreifer machen, die Ressourcen mit systemweiten Berechtigungen angreifen wollen.

In diesem Fall hat das chinesische Sicherheitsunternehmen Sangfor auf seiner GitHub-Seite versehentlich einen Proof-of-Concept-Exploit für einen Zero-Day-Angriff veröffentlicht. Das Unternehmen hat den Code sofort gezogen, aber nicht bevor er gegabelt und in die Wildnis kopiert wurde.

PrintNightmare, verfolgt als CVE-2021-34527 , ist eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung. Das heißt, wenn ein Angreifer die Schwachstelle ausnutzt, könnte er theoretisch Schadcode auf einem Zielsystem ausführen. Obwohl Sie das Hauptziel eines solchen Exploits sein könnten, verwenden Milliarden von Computern und Servern weltweit den Microsoft Print Spooler, weshalb PrintNightmare solche Probleme verursacht.

Verwandte: Die beste kostenlose Antivirus-Software

Microsoft empfiehlt vorsichtig, den Druckspoolerdienst zu deaktivieren

Bis ein bestimmter Fix gefunden wird, rät Microsoft Benutzern, Unternehmen und Organisationen, den Druckspoolerdienst auf allen Servern zu deaktivieren, die ihn nicht benötigen.

Organisationen können den Druckspoolerdienst auf zwei Arten deaktivieren: über PowerShell oder über Gruppenrichtlinien.

Power Shell

  1. Öffnen Sie PowerShell .
  2. Eingabe Stop-Service -Name Spooler -Force
  3. Input Set-Service -Name Spooler -StartupType Disabled

Gruppenrichtlinie

  1. Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc)
  2. Navigieren Sie zu Computerkonfiguration / Administrative Vorlagen / Drucker
  3. Suchen Sie die Richtlinie Druckspooler erlauben, Clientverbindungen zu akzeptieren
  4. Auf Deaktivieren > Übernehmen setzen

Microsoft ist nicht die einzige Organisation, die Benutzern rät, die Druckspoolerdienste nach Möglichkeit auszuschalten. CISA veröffentlichte auch eine Erklärung, in der eine ähnliche Richtlinie empfohlen wird, und ermutigt "Administratoren, den Windows-Druckspoolerdienst in Domänencontrollern und Systemen zu deaktivieren, die nicht drucken".

Obwohl Microsoft diesen Rat in Bezug auf PrintNightmare erneut herausgibt, empfiehlt das Unternehmen diese Richtlinie jederzeit, sich mit dieser Methode vor unerwarteten Angriffen zu schützen. Das Deaktivieren des Druckspool-Dienstes mithilfe einer Gruppenrichtlinie ist die beste Methode, um die domänenweite Sicherheit zu gewährleisten.