Notfall-Updates für Windows PrintNightmare Zero-Day: Microsoft

Berichten zufolge hat Microsoft ein Notfall-Sicherheitsupdate namens KB5004945 veröffentlicht, um die Zero-Day-Schwachstelle PrintNightmare im Windows-Druckspoolerdienst zu beheben, die alle Windows-Betriebssystemversionen betrifft. Der Patch ist jedoch noch unvollständig und die Schwachstelle kann immer noch ausgenutzt werden, um Systemprivilegien zu erlangen.

Laut Experten ermöglicht der als CVE-2021-34527 gekennzeichnete Fehler bei der Remote-Codeausführung Kriminellen tatsächlich, betroffene Server einfach zu übernehmen, indem sie die Codeausführung mit Systemberechtigungen entfernen. So können sie Programme installieren, Daten anzeigen oder ändern oder löschen sowie Konten mit vollen Benutzerrechten erstellen.

Um Anweisungen zur Installation dieser Sicherheitsupdates auf dem Computer zu erhalten, können Benutzer die offizielle Microsoft-Website für ihre Betriebssystemversionen besuchen.

Obwohl. Das Sicherheitsupdate ist für viele Windows 10-Versionen freigegeben, für Windows 10 1607, Windows Server 2016 oder Windows Server 2012 ist das Update noch nicht freigegeben, diese Versionen werden jedoch sehr bald die Updates erhalten.

Microsoft sagte: „Mit diesen Updates verbundene Versionshinweise können mit einer Verzögerung von bis zu einer Stunde veröffentlicht werden, nachdem die Updates zum Download verfügbar sind.“

Außerdem fügte das Unternehmen hinzu: „Updates für die verbleibenden betroffenen unterstützten Versionen von Windows werden in den kommenden Tagen veröffentlicht.“

Um mehr über die PrintNightmare-Schwachstelle zu sprechen, umfasst sie sowohl die Remotecodeausführung als auch einen lokalen Privilegieneskalationsvektor, der von Angreifern verwendet werden kann, um Befehle mit Systemprivilegien auf einem anfälligen Computer auszuführen.

Und nachdem Microsoft das Sicherheitsupdate veröffentlicht hat, hat der Forscher namens Mathew Hickey verifiziert, dass der Patch nur die RCE- und nicht die LPE-Komponente auflöst.

Und dies weist lediglich darauf hin, dass der vom Unternehmen veröffentlichte Fix immer noch unvollständig ist und Bedrohungsakteure die Schwachstelle noch lokal ausnutzen können, um Systemberechtigungen zu erlangen.