24 Jahre lang schlummerte der "Druckdämon" in Windows. Jetzt hat man ihn – ganz ohne Hilfe von Sam und Dean Winchester – ausgetrieben.

Foto: AP

Manchmal dauert es eine Zeit, ehe eine Schwachstelle in einem Betriebssystem entdeckt wird. Und manchmal dauert es sogar mehrere Jahrzehnte. So auch bei einem Leck im Druckdienst von Microsofts Windows-Betriebssystemen.

24 Jahre, nachdem die fehlerhafte Komponente Einzug gehalten hat, haben zwei Securityforscher der Safebreach Labs den Fehler nun aufgespürt. Für neuere Windows-Versionen – im Privatkundenbereich sind das Windows 8 und 10 – gibt es auch schon Patches. Denn ein Angreifer könnte die "PrintDemon" getaufte. Lücke nutzen, um sich permanenten Backdoor-Zugriff auf ein System zu verschaffen, berichtet ZDNet.

Permanenter Backdoor-Zugang

Der "Druckdämon" schlummert im Print Spooler, also dem Dienst für die Druckerwarteschleife in Windows. Dieser ist dafür zuständig, Daten entweder per USB oder eine parallele Schnittstelle oder über einen TCP-Port an einen Drucker zu schicken.

Allerdings kann er einen Druckauftrag auch als Datei speichern. Das kann sich ein Angreifer zunutze machen, um als Ziel eines Druckauftrags eine Programmbibliothek (DLL) zu wählen, die von einer App verwendet wird. Bringt man den Print Spooler dann zum Absturz, kann er Druckauftrag anschließend mit vollen Rechten fortgesetzt werden und lässt sich missbrauchen, um etwa beliebig Dateien am System zu überschreiben oder neue Konten mit Adminrechten einzurichten.

Ausnutzen lässt sich der Fehler unter Windows 10 mit nur einem Kommando in der Powershell. Auf diese Weise kann man einen Backdoor-Zugang am Rechner platzieren, der auch bestehen bleibt, wenn die Lücke danach gepatcht wird.

Lokaler Zugriff erforderlich

Zum Glück wird das Gefahrenpotenzial des Lecks allerdings dadurch limitiert, dass die Schwachstelle nicht aus der Ferne ausnutzbar ist. Ein Angreifer muss entweder direkt oder über ein lokales Netzwerk auf das System zugreifen können. Betroffen sind alle Windows-Ausgaben seit 1996, beginnent mit Windows NT 4.

Microsoft hat bereits Patches veröffentlicht, die das Problem beheben. Verfügbar sind diese allerdings nur für Windows-Ausgaben, die noch unterstützt werden. Im Privatanwender-Bereich sind dies Windows 8 und Windows 10. Auch für das eigentlich seit Jänner aus dem Support gefallene Windows 7 wurde ein Sicherheitsupdate nachgereicht. (red, 14.05.2020)