Es gibt "dumm gelaufen" – und dann gibt es "wirklich, wirklich dumm gelaufen". Sicherheitsforscher haben unabsichtlich eine kritische Sicherheitslücke in Windows öffentlich gemacht, für die es bisher noch kein Update gibt. Als wäre das nicht schlimm genug, gibt es auch gleich den passenden Exploit Code, mit dem die Lücke ausgenutzt werden kann. Nun herrscht dringender Handlungsbedarf für Systemadministratoren, lassen sich darüber doch theoretisch ganze Windows-Netzwerke übernehmen.

Eine verhängnisvolle Abfolge

Doch der Reihe nach: Mit dem Juni-Patch-Day hat Microsoft eine schwere Sicherheitslücke im "Print Spooler" – also im Service für die Druckerwarteschlange – geschlossen. Die als CVE-2021-1675 verzeichnete Lücke wurde dabei zunächst mit der Warnstufe "hoch" versehen, wenige Wochen später wurde die Gefährdung auf "kritisch" gehoben. Eine Erklärung für diesen Schritt lieferte Microsoft zwar nicht, Grund für die Änderung der Einschätzung dürfte aber sein, dass sich der betreffende Fehler auch von außen ausnutzen lässt.

So weit, so unerfreulich, aber eben auch etwas, das zum Alltag der Softwarewartung gehört. Immerhin gibt es ein passendes Update. Wer dieses zeitgerecht installiert, braucht sich also keine Sorgen zu machen. Fall also abgeschlossen? Leider nicht, denn wie gesagt, ist hier jemandem ein verheerender Fehler unterlaufen.

Vor wenigen Tagen verkündete die chinesische Sicherheitsfirma Qi An Xin, dass man einen Weg gefunden hat, die betreffende Lücke aus der Ferne auszunutzen. Dies veranlasste wiederum ein anderes Unternehmen namens Sangfor, seine eigene Zusammenfassung der Problematik zu veröffentlichen – und dies auch gleich mit einem Demo-Exploit. Zudem verpassten sie dem Fehler den Namen "PrintNightmare", da diese Lücke in der Einschätzung ein echter Albtraum für Windows-Adminstratoren ist und sich eben über die Druckerschnittstelle ausnutzen lässt.

Falsche Lücke

Das Problem bei all dem: Sangfor hat sich bei der Veröffentlichung vertan. Der eigene Exploit Code zielt nämlich auf eine weitere, bislang unbekannte Lücke ab. Diese weist zwar starke Ähnlichkeiten zu CVE-2021-1675 auf, steht bislang aber noch offen. Insofern hat man jetzt eine sogenannte Zero-Day-Lücke öffentlich gemacht. Ein Bug im Spooler-Service kann dabei genutzt werden, um Schadcode mit Systemrechten auszuführen. Von dem Fehler sind offenbar praktisch alle Windows-Versionen betroffen. Auch auf einem vollständig gepatchten Windows-Server 2019 wurde die Attacke erfolgreich getestet.

Für Angreifer ist diese Situation ein gefundenes Fressen, immerhin haben sie nun alle Puzzlestücke, um Attacken gegen entsprechende Systeme zu starten. Findet man dabei etwa einen Domänenserver, auf dem sich dieser Angriff ausführen lässt, wäre eine Ausbreitung im gesamten Netzwerk einer Firma möglich, um dann auf den einzelnen Rechnern weitere Schadsoftware unterzubringen. Eine gute Nachricht gibt es allerdings auch: Laut einem Bericht des CERT der Carnegie-Mellon-Universität lässt sich die Attacke nur durchführen, wenn der Angreifer authentifiziert ist. Trotzdem könnte die Zero-Day-Lücke einen wichtigen Schritt in der kompletten Übernahme eines Netzwerks darstellen.

Reaktion

Wann ein passendes Update veröffentlicht wird, ist derzeit noch unklar, frühestens dürfte dies aber wohl mit dem nächsten Patch Day passieren, der für den 13. Juli geplant ist. Bis dahin gilt für Administratoren der Tipp, den Print-Spooler-Service zu deaktivieren, um entsprechende Angriffe zu verhindern. (apo, 1.7.2021)