Windows-Lücke »PrintNightmare« bedroht Druckumgebungen

Im Augenblick sorgt eine Windows-Sicherheitslücke mit ungewöhnlicher Geschichte für erhebliche Probleme in allen Unternehmen, die für ihre Geschäftsprozesse auf Drucken über das Netzwerk angewiesen sind. Die Schwachstelle wurde daher und wegen der erheblichen Möglichkeiten, die sie Angreifern aus der Ferne eröffnet, zu Recht »PrintNightmare« genannt.

Microsoft hat sie nicht nur bestätigt, sondern empfiehlt bereits auch einen Workaround. Der allerdings verhindert nicht nur den Angriff, sondern auch das Drucken über das Netzwerk. Nun hoffen viele Unternehmen, dass die Lücke mit dem kommenden Patch-Tuesday – dem zweiten Dienstag im Monat, an dem Microsoft traditionell seine Patches ausliefert – geschlossen wird. Ob das Update am 12. Juli kommt und ob damit alle Probleme behoben werden, ist derzeit jedoch noch offen. Hoffnung besteht, denn die Warnung der US-Behörde CISA (vergleichbar mit dem BSI in Deutschland) vor den von der Lücke ausgehenden Gefahren erhöht den Druck auf Microsoft deutlich.

Kuriose Entdeckungsgeschichte von »PrintNightmare«

Entdeckt wurde die Lücke von Sicherheitsforschern der Firma Sangfor. Sie bereiteten einen Beitrag über Print Spooler Bugs für die Black Hat Conference im August 2021 vor. Als Microsoft mit einem Update im Juni auch den von dem Konzern als Windows Print Spooler Vulnerability bezeichneten Fehler behob, gingen die Sangfor-Experten davon aus, dass es sich um die von ihnen für ihren Vortrag exemplarisch ausgenutzte Lücke handelt. Sie beschlossen daher, die Informationen zu der von Microsoft auch als Print Spooler Bug titulierten Schwachstelle zu veröffentlichen.

Damit hätten sie normalerweise im Einklang mit den üblichen Gepflogenheiten der IT-Sicherheitsbranche gehandelt. Allerdings stellte es sich kurz darauf heraus, dass es sich bei der beschriebenen Schwachstelle nicht um die zwei Wochen zuvor von Microsoft geschlossene Lücke mit der offiziellen Bezeichnung CVE-2021-1675 handelte, sondern um eine weitere, ähnliche, allerdings gefährlichere und neue Lücke, wie Paul Ducklin von der IT-Sicherheitsfirma Sophos erklärt.

Was Microsoft empfiehlt

Die offizielle Bezeichnung der zweiten, noch ungepatchten Schwachstelle ist CVE-2021-34527. Die Sicherheitslücke steckt im Drucker-Spooler-Service von Windows und kann aus der Ferne ausgenutzt werden. Ein Angreifer, dem das gelingt, kann nahezu ungehindert Programme installieren und Daten manipulieren. Betroffen sind alle Server- und Client-Versionen von Windows.

Microsoft rät als Notfallmaßnahme dazu, Drucken auf allen Servern und Systemen, die nicht unbedingt Drucken müssen, mit einem von ihm bereitgestellten Workaround lokal sowie über das Netzwerk zu deaktivieren. Wie sich das bewerkstelligen lässt, erklärt auch Sophos in einem weiteren Blog-Post. Microsoft rät zudem, das Drucken übers Netzwerk auch bei allen anderen Rechnern via Gruppenrichtlinie zu deaktivieren.

Was Security-Experten sagen

Die Sicherheitsforscher von Malwarebytes halten die von Microsoft vorgeschlagenen Maßnahmen für geeignet, um die Ausnutzung der Schwachstelle zu unterbinden. Allerdings lasse sich dann nur noch lokal drucken.

Paul Baird, UK Chief Technology Security Officer bei Qualys, sieht die Microsoft-Empfehlungen genau deshalb kritisch: »Diese Schwachstelle ist ein Albtraum, denn IT-Teams können nicht einfach so den Druck-Spooler stoppen und auch nicht auf die Veröffentlichung des Patches warten.« Seiner Meinung nach ist ein Überwachungssystem – wie es unter anderem Qualys anbietet – im Moment die einzige Chance. »So können vom Spooler-Dienst erzeugte bösartige Prozesse erkannt werden.«

Aber selbst das ist laut Baird keine einfache Aufgabe. »Man muss das System überhaupt erst einmal kennen und feststellen können, ob es nicht neue Druckertreiber benötigt. « Zudem hätten viele Unternehmen schon jetzt Schwierigkeiten, mit dem regelmäßigen Patch-Management Schritt zu halten. »Jede Version und jeder Typ von Windows – Client und Server – sind betroffen. Daher wird es schwierig sein, den Fix zügig durchzuführen, sobald er verfügbar ist«, befürchtet Baird.

Die Malwarebytes-Experten weisen zusätzlich auf Parallelen zu dem bekannten Wurm »Stuxnet« hin, der – neben anderen – ebenfalls eine Anfälligkeit in einem Print Spooler Service ausgenutzt hat, um sich zu verbreiten. Außerdem geben sie zu bedenken, dass der Print Spooler Service fester Bestandteil des Windows-Betriebssystems ist und als solcher »schon immer« dagewesen sei. In diesem »alten« Service seien im Laufe der Jahre bereits viele Lücken gefunden und geschlossen worden.

»PrintNightmare« weist auf grundlegende Probleme hin

Allerdings scheint es so, dass solche Dienste, deren Ursprung in eine Zeit zurückgeht, in der Vernetzung ein Luxus war, heutzutage besonders anfällig sind. Hersteller von Druckgeräten und Software dafür – etwa Adobe bei seiner Druckersprache PostScript – konnten damals guten Gewissens davon ausgehen, dass Druckgeräte nicht gesondert gesichert werden müssen, weil sie in einem vertrauenswürdigen und gut abgesicherten Netzwerk stehen.

Welche Risiken dieses Denken birgt, demonstrierten bereits 2017 Forscher der Ruhr-Universität Bochum. Heute entspräche der Ansatz nicht mehr dem Stand der Technik, der »Security by Design« verlangt – also von jedem Gerät und jeder Software eigene Sicherheitsmechanismen für seinen Bereich. Für Drucker tut sich seit einigen Jahren dabei HP besonders hervor und Xerox legt durch eine Technologiepartnerschaft mit dem IT-Security-Anbieter McAfee auf diesen Aspekt wert. Allerdings sind die beiden Unternehmen historisch auch die mit den meisten bekannt gewordenen Sicherheitslücken in ihren Druckgeräten – hatten also auch den größten Nachholbedarf.