Microsoft fordert Benutzer auf, das Druckerspooling auszuschalten, um sich vor Zero-Day-Exploit zu schützen

Microsoft hat eine Reihe von Abschwächungsmaßnahmen gegen einen Zero-Day-Exploit erlassen, sagt das Technologieunternehmen: "Angreifer nutzen das aktiv aus."

Der Zero-Day-Exploit, bekannt als DruckenAlbtraum, nutzt eine Schwachstelle im Windows-Druckspooler aus und könnte einem Angreifer ermöglichen, Code aus der Ferne auszuführen.

Obwohl es keine spezifische Lösung für PrintNightmare gibt, enthält die Empfehlung von Microsoft zwei Optionen, die Benutzer bereitstellen können, um ihr System vor dem potenziell gefährlichen Exploit zu schützen.

PrintNightmare ist der Druckjob aus der Hölle

Der Druckspooler ist ein Windows-Softwaredienst, der die Druckprozesse Ihres Systems verwaltet. Wenn Sie auf Drucken klicken, übernimmt der Spooler den eingehenden Druckauftrag von der Software (oder dem Betriebssystem) und stellt sicher, dass der Drucker und seine Ressourcen (Papier, Tinte usw.) einsatzbereit sind. Wenn Sie mehrere Druckaufträge senden, stellt der Spooler diese in die Warteschlange und verwaltet die Druckausgabe.

Der Druckspoolerdienst hat Zugriff auf das gesamte System. Auch wenn es harmlos klingt, kann es einen solchen Dienst zu einem Ziel für Angreifer machen, die Ressourcen mit systemweiten Berechtigungen angreifen wollen.

In diesem Fall veröffentlichte das chinesische Sicherheitsunternehmen Sangfor versehentlich einen Proof-of-Concept-Exploit für a Zero-Day-Angriff zu seiner GitHub-Seite. Das Unternehmen hat den Code sofort gezogen, aber nicht bevor er gegabelt und in die Wildnis kopiert wurde.

PrintAlbtraum, verfolgt als CVE-2021-34527, ist eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung. Das heißt, wenn ein Angreifer die Schwachstelle ausnutzt, könnte er theoretisch Schadcode auf einem Zielsystem ausführen. Obwohl Sie das Hauptziel eines solchen Exploits sein könnten, verwenden Milliarden von Computern und Servern weltweit den Microsoft Print Spooler, weshalb PrintNightmare solche Probleme verursacht.

Verbunden: Die beste kostenlose Antivirus-Software

Microsoft empfiehlt vorsichtig, den Druckspoolerdienst zu deaktivieren

Bis ein bestimmter Fix gefunden wird, Microsoft berät Benutzer, Unternehmen und Organisationen, den Druckspoolerdienst auf allen Servern zu deaktivieren, die ihn nicht benötigen.

Organisationen können den Druckspoolerdienst auf zwei Arten deaktivieren: über PowerShell oder über Gruppenrichtlinien.

Power Shell

1. Öffnen Power Shell.
2. Eingang Stop-Service -Name Spooler -Force
3. Eingang Set-Service -Name Spooler -StartupType Disabled

Gruppenrichtlinie

1. Öffne das Gruppenrichtlinien-Editor(gpedit.msc)
2. Navigieren zu Computerkonfiguration / Administrative Vorlagen / Drucker
3. Suchen Sie die Druckspooler erlauben, Client-Verbindungen zu akzeptieren Politik
4. Einstellen Deaktivieren > Übernehmen

Microsoft ist nicht die einzige Organisation, die Benutzern rät, die Druckspoolerdienste nach Möglichkeit auszuschalten. KAG auch veröffentlicht eine Erklärung, die zu einer ähnlichen Richtlinie rät und "Administratoren dazu auffordert, den Windows-Druckspoolerdienst in Domänencontrollern und Systemen zu deaktivieren, die nicht drucken".

Obwohl Microsoft diesen Rat in Bezug auf PrintNightmare erneut herausgibt, empfiehlt das Unternehmen diese Richtlinie jederzeit, sich mit dieser Methode vor unerwarteten Angriffen zu schützen. Das Deaktivieren des Druckspool-Dienstes mithilfe einer Gruppenrichtlinie ist die beste Methode, um die domänenweite Sicherheit zu gewährleisten.

Malware verstehen: 10 gängige Typen, die Sie kennen sollten

Erfahren Sie mehr über die gängigen Arten von Malware und deren Unterschiede, damit Sie verstehen, wie Viren, Trojaner und andere Malware funktionieren.

Weiter lesen

Über den Autor