Jul 2, 2021
1 min read
PrintNightmare — Menschenangreifende Drucker sind damit nicht gemeint
In der Welt der Security sind ausgeklügelte Angriffe über Netzwerke auf Systeme wie Webshops, Firewalls oder Server üblich und häufig in aller Munde. Drucker hingegen wirken — zumindest auf mich — schon immer verstaubt. Lange also fand das niemand so sexy, als das sich ein Angriff lohnen könnte.
Komm zum Punkt
- Bezeichnung: PrintNightmare
- CVE Nummer: CVE-2021–1675
- Betroffene Systeme: ab Windows 7
- Exploit Auswirkungen: Fremder Programmcode kann lokal ausgeführt werden, und die Rechte lassen sich erhöhen auf den SYSTEM User unter Windows.
Panik — und jetzt?
- Print Spooler auf allen Systemen deaktivieren, die ihn nicht benötigen
- Netzwerkzugriff auf Systeme stark eingrenzen, die den Print Spooler nicht deaktivieren können (least-privilidge-principle)
Wie deaktiviere ich das?
Zum einen manuell über die PowerShell:
- Powershell als Administrator starten
- Befehl: Stop-Service Spooler
Und wer so wieso schon in der Powershell ist, muss nicht noch extra zu den Services wechseln um den Autostart zu stoppen. Außerdem lässt sich folgender Registry Key auch über Domänennetzwerke pushen:
REG ADD “HKLM\SYSTEM\CurrentControlSet\Services\Spooler” /v “Start “ /t REG_DWORD /d “4” /f
Mir ist langweilig, ich will mehr wissen
Beitragsbild von Christiaan Colen — Creative Commons Lizenz: CC BY-SA 2.0
