Update zu kritischer Schwachstelle in der Microsoft Windows-Druckerwarteschlange

Eine kritische Sicherheitslücke CVE-2021-34527 in der Windows Druckerwarteschlange gefährdet derzeit Microsoft Betriebssysteme. Ein Update für diese Schwachstelle existiert bisher nicht.

Ein authentifizierter Benutzer kann Schadcode remote über den Dienst „spoolersv.exe“ (Druckerwarteschlange) mit System-Rechten ausführen und somit das Betriebssystem befallen. Diese Lücke ist besonders kritisch, da eine Anleitung zur Durchführung vor kurzem veröffentlicht wurde.

Betroffen sind alle Windows Betriebssysteme (von Windows 7 bis Windows Server 2019).

Empfohlener Workaround

Alle Systeme:

  1. Stopp und Deaktivierung des Windows-Dienstes Druckerwarteschlange / Printspooler

Systeme auf denen Druckdienste benötigt werden (z.B. Clients, Terminalserver, Druckserver, etc.):

  1. Windows Updates vom 21.06.2021 installieren
  2. Bitte prüfen Sie, ob schon bestehende Richtlinien mit Point-and-Print Einstellungen aktiv sind
    • Diese GPOs müssen deaktiviert oder folgendermaßen angepasst werden
  3. Neue GPO angelegen, Point-and-Print aktivieren und wie folgt konfigurieren (Computerkonfiguration -> Administrative Vorlagen -> Drucker -> Point-and-Print-Einschränkungen)
    • Diese Richtlinien allen betroffenen Systemen zuweisen
  4. Prüfen, dass folgender Registry-Key nicht gesetzt ist:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • EnableLUA = 0
    • Sollte der Key gesetzt sein, muss dieser auf den Wert 1 geändert werden (auch per GPP möglich)
  5. Des Weiteren sollten die Authentifizierten-Benutzer und Domänen-Benutzer aus folgenden Gruppen entfernt werden (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527):
    • Administrator
    • Domain Controller
    • Read Only Domain Controller
    • Enterprise Read Only Domain Controller
    • Certificate Admins
    • Schema Admins
    • Enterprise Admins
    • Group Policy Admins
    • Power User
    • System Operator
    • Print Operator
    • Backup Operator
    • RAS Server
    • Pre-Windows 2000 Compatible Access
    • Network Configuration Operators Group Object
    • Cryptographic Operators Group Object
    • Local account and member of Administrators group

HINWEIS: Entfernen von Usern oder Gruppen aus den Gruppen kann zu anderen Inkompatibilitäten oder Problemen führen.

Domänen-Controller:

  1. Wird der Domänen-Controller als Printserver eingesetzt, sollte zusätzlich zu den oben genannten Punkten folgender Workaround umgesetzt werden:
  2. Anschließend sollte die Druckserver-Rolle so bald wie möglich auf ein eigenständiges System migriert werden.

Auch das Bundesamt für Sicherheit in der Informationstechnik warnt vor dieser Sicherheitslücke.

Gerne unterstützen wir Sie bei der Umsetzung des Workarounds oder Migration Ihres Druckerservers. Melden Sie sich dazu bitte bei unserem Support per Mail (support@k-is.com) oder telefonisch (Deutschland: +49 271 31370-30 (Siegen) oder +49 6761 9321-55 (Simmern) | Schweiz: +41-55-536-1020) und vereinbaren einen zeitnahen Termin.

(K-iS Security Advisory 2021-001)