[Update: 08.07.21 08:45 Uhr: Offizielle Updates verfügbar]
Es stehen nun für alle unterstützten Versionen von Windows offizielle Sicherheitsupdates zur Verfügung, deren schnellstmögliche Installation dringend empfohlen wird. Das Update wird auch über den WSUS des LUIS verteilt.
Weitere Informationen:
----
Ursprüngliche Meldungen:
[Update: 06.07.21 09:00 Uhr: Alle OPSI-Clients erhalten die Maßnahme 2 automatisch als lokale Gruppenrichtlinie. Im Falle eines vorhandenen ADs wird diese Maßnahme jedoch überschrieben und es muss auch im AD nachgesteuert werden.]
[Update: 05.07.21 15:45 Uhr: Damit die Maßnahme 2 wirksam wird ist ein Neustart des Spooler-Dienstes notwendig.]
[Update: 05.07.21 14:30 Uhr: Die Maßnahmen 1 und 2 zu einer Maßnahme (1) zusammengefasst und um eine weitere Maßnahme 2 (Deaktivieren des eingehenden Remote-Drucks) erweitert. Desweiteren werden die Maßnahmen insbesondere auch für Windows-Systeme in einer Domäne empfohlen.]
Die kritische Schwachstelle befindet sich im Spooler-Service (auch: Druckwarteschlange) des Microsoft-Betriebssystems Windows. Sie lässt sich aus der Entfernung mit gültigen Anmeldeinformationen ausnutzen und erlaubt Codeausführung sowie die Eskalation von Privilegien.
Da von Microsoft noch keine Sicherheitsupdates zur Verfügung stehen, ist ein manuelles Handeln erforderlich, um ein System abzusichern.
Bitte bereiten Sie sich auf weitere Veröffentlichungen zu diesem Thema vor und informieren Sie sich aus den u.a. Quellen.
Wir empfehlen, insbesondere auf Domänencontrollern, Print-Servern sowie Windows-Systemen in einer Domäne die empfohlenen Maßnahmen durchzuführen. Es ist darauf hinzuweisen, dass zwei der Maßnahmen zur Folge haben, dass über die Systeme nicht mehr (oder nur noch eingeschränkt) gedruckt werden kann. Es empfiehlt sich daher abzuwägen, welche der Maßnahmen bei welchen Systemen durchgeführt werden.
Empfohlene Maßnahmen (es gibt mehrere Workarounds):
- Deaktivieren des Spooler-Service (lokales System oder über Gruppenrichtlinien)
Der Spooler-Dienst kann über die Powershell oder die Diensteverwaltung (services.msc) deaktiviert werden.
Ebenso kann der Spooler-Dienst innerhalb einer Windowsdomäne über die Gruppenrichtlinien (Computer Configuration\Policies\Windows Settings\System Services\Print Spooler) deaktiviert werden.
Achtung: Danach kann auf den lokalen System nicht mehr gedruckt werden. Dies bietet sich insbesondere für Systeme an, auf denen eh nicht gedruckt werden muss. - Deaktivieren des eingehenden Remote-Drucks über die Gruppenrichtlinie
Die Einstellungen können über die Gruppenrichtlinie konfiguriert werden über "Computer Configuration \ Administrative Templates \ Printers". Dort dann "Allow Print Spooler to accept client connections" deaktivieren, um Remote-Angriffe zu blockieren.
Sie müssen den Druckspooler-Dienst neu starten, damit die Gruppenrichtlinie wirksam wird.
Für OPSI-verwaltete Geräte: Alle OPSI-Clients erhalten die Maßnahme 2 automatisch als lokale Gruppenrichtlinie. Im Falle eines vorhandenen ADs wird diese Maßnahme jedoch überschrieben und es muss auch im AD nachgesteuert werden.
Achtung: Das System fungiert nun nicht mehr als Druckserver. Lokal (z.B. an einem direkt angeschlossenen Gerät) kann jedoch noch gedruckt werden. Dies bietet sich als Option für normale Arbeitsplatzrechner an. - Ausführen des Powershell-Skripts der Sicherheitsfirma Truesec
Dem System-Benutzer werden die Berechtigungen für den Treiber-Ordner des Spool-Dienstes entzogen, sodass das System nicht kompromittiert wird.
Vorteil: Sie können sich schützen, ohne den Spooler-Dienst abzuschalten und können somit weiterhin drucken. Dies bietet sich insbesondere für Print-Server an. Anzumerken ist, dass diese Maßnahmen nach aktuellen Erkenntnissen gegen den Exploit schützen, sich dies aber auch kurzfristig ändern kann.
Weitere Informationen:
Rückfragen bitte an: security@luis.uni-hannover.de