Als wäre die Geschichte rund um eine "PrintNightmare" getaufte Lücke nicht schon unerfreulich genug, fügt Microsoft dieser nun einen weiteren Tiefpunkt hinzu. Wie sich herausstellt, ist ein gerade erst veröffentlichtes Update nämlich unvollständig. Die Konsequenz: Unter gewissen Voraussetzungen sind weiterhin Angriffe auf davon betroffene Windows-Systeme möglich.

Vorgeschichte

Der "Drucker-Albtraum" trägt dabei seinen Namen durchaus zu Recht, wie schon die Vorgeschichte erklärt: War die Sicherheitslücke doch Ende Juni von einem chinesischen Sicherheitsunternehmen unabsichtlich öffentlich gemacht worden, da man den Fehler mit einem anderen, ähnlichen Bug verwechselt hatte. Die Konsequenz: Plötzlich war ein funktionstüchtiger Exploit-Code zur Ausnutzung einer offen stehenden Windows-Sicherheitslücke im Netz verfügbar. Noch dazu einer, die von außen ausgenutzt werden kann.

Entsprechend positiv war, dass Microsoft auf die Bedrohung relativ rasch reagierte und das eigentlich erst für kommenden Woche vorgesehene Update vorzog. Leider hat man dabei aber gepatzt. Stellt sich doch nun heraus, dass die Lücke noch immer offen steht, wenn beim Druckserver in der Funktion "Point and Print" die Einstellung "NoWarningNoElevationOnInstall" ist. Diese ist dazu gedacht, Nutzern im Netzwerk die Installation des richtigen Druckertreibers zu erleichtern. Ob sie aktiviert ist, entscheiden üblicherweise die Administratoren des jeweiligen Netzwerkes.

Update trotzdem einspielen

In diesen Fällen gilt also weiterhin der Ratschlag, den Microsoft schon zuvor gegeben hat, nämlich den Print-Spooler komplett zu deaktivieren, um Angriffe zu verhindern. Die Empfehlung, das aktuelle Update zu installieren, bleibt aber trotzdem aufrecht, weil es nicht nur das Risiko minimiert, sondern auch noch andere Verbesserungen vornimmt, wie die Installation von unsignierten Druckertreibern durch berechtigte Administratoren zu verhindern.

Die Lücke betrifft alle Windows-Versionen zurück bis Windows 7. Zwar ist der Print-Spooler auch auf Geräten von Privatnutzern von Haus aus aktiviert, aber eben nicht die erwähnte Detaileinstellung. Die erwähnte Gefahr besteht insofern vor allem für Firmennetzwerke, wo dies etwa als Einbruchspunkt genutzt werden könnte, um sich im gesamten Unternehmen auszubreiten. Administratoren sollten insofern jetzt überprüfen, ob bei ihnen die erwähnten Voraussetzungen gegeben sind, und gegebenenfalls weiter den Print-Spooler deaktivieren, bis es einen vollständigen Patch gibt. (apo, 8.7.2021)