PrintNightmare: Malwarebytes nimmt Stellung zu Microsoft-Windows-Sicherheitslücke

Ratschläge der Malwarebytes-Administratoren in aller Kürze

[datensicherheit.de, 02.07.2021] Laut einer aktuellen Meldung von Malwarebytes sollen Sicherheitsforscher „unabsichtlich eine kritische Sicherheitslücke im ,Windows‘-Betriebssystem veröffentlicht“ haben, welche auf den Namen „PrintNightmare“ höre. Für diese Schwachstelle werde es wohl frühestens am 12. Juli 2021 einen Patch geben. Malwarebytes fasst nach eigenen Angaben den Stand der Dinge nachfolgend zusammen und gibt Ratschläge zum Umgang mit diesem Problem.

Malwarebytes warnt vor Ausnutzung der Sicherheitslücke

In Anbetracht der großen Anzahl von Rechnern, welche für „PrintNightmare“ anfällig sein könnten, und der Tatsache, dass mehrere Methoden zum Ausnutzen dieser Sicherheitslücke veröffentlicht worden seien, sei es wahrscheinlich, dass es bald tatsächliche Attacken geben werde, „bei denen diese Sicherheitslücke ausgenutzt wird“.

Malwarebytes-Administratoren geben Hinweise für Gegenmaßnahmen

Ratschläge der Malwarebytes-Administratoren in aller Kürze:

• Deaktivieren Sie den Print-Spooler-Dienst auf Rechnern, die ihn nicht benötigen. Bitte beachten Sie, dass das Anhalten des Dienstes ohne Deaktivierung möglicherweise nicht ausreicht.
• Stellen Sie sicher, dass die Systeme, die den Print-Spooler-Dienst benötigen, nicht mit dem Internet verbunden sind.

Malwarebytes empfiehlt, Zugriffsereignisse und -berechtigungen sehr sorgfältig einzuschränken und zu überwachen

„Diese Maßnahmen werden nicht in jedem Fall einfach oder überhaupt umsetzbar sein. Bei den Endgeräten, die den Print-Spooler-Dienst benötigen und auch von außerhalb des LANs erreichbar sein müssen, sollten die Zugriffsereignisse und -berechtigungen sehr sorgfältig eingeschränkt und überwacht werden. Vermeiden Sie auch unbedingt, den Print-Spooler-Dienst auf irgendwelchen Domain-Controllern laufen zu lassen.“

Malwarebytes: Deny to modify als Regel erstellen!

Für weitere Maßnahmen sei es gut zu wissen, dass der Exploit funktioniere, indem er eine DLL-Datei in einem Unterverzeichnis von „Windows“ (unter C:\Windows\System32\spool\drivers) ablege, „so dass Sie eine ,Deny to modify‘-Regel für dieses Verzeichnis und seine Unterverzeichnisse erstellen können, und somit nicht einmal das SYSTEM-Konto eine neue DLL darin ablegen kann“.

Weitere Informationen zum Thema:

MalwarebytesLABS, Pieter Arntz, 01.07.2021
PrintNightmare 0-day can be used to take over Windows domain controllers

BLEEPINGCOMPUTER, Ionut Ilascu, 30.06.2021
Public Windows PrintNightmare 0-day exploit allows domain takeover