Windows Print Spooler – Sicherheitslücke bei Remotecode-Ausführung [Workaround][2.Update]

[Update 7.07.21]: Microsoft hat nun die KB5004945, KB5004946 und KB5004947 für Windows 10 21H1 bis runter zur 1507 als Update bereitgestellt. Siehe hier.

[Update 4.07.21]: Microsoft hat einen weiteren Workaround hinzugefügt, um die Sicherheitsanfälligkeit bezüglich der Remotecodeausführung im Windows-Druckspooler zu verringern. Als Alternative zum Deaktivieren des Druckens. Siehe Link unten.

[Original 2.07.21]: Microsoft hat eine Sicherheitslücke entdeckt, die unter der CVE-2021-34527 beschrieben wurde. Die Sicherheitslücke selber wird auch schon ausgenutzt. Microsoft hat einen Workaround bereitgestellt, bis die Lücke durch ein Sicherheitsupdate geschlossen wird.

  • Stellen Sie fest, ob der Druckspooler-Dienst ausgeführt wird (als Administrator der Domäne ausführen)
  • Führen Sie Folgendes als Administrator der Domäne aus:
  • Get-Service -Name Spooler

Wenn der Druckspooler-Dienst ausgeführt wird oder der Dienst nicht deaktiviert ist, wählen Sie eine der folgenden Optionen aus, um entweder den Druckspooler-Dienst zu deaktivieren oder um den eingehenden Remote-Druck über die Gruppenrichtlinie zu deaktivieren:

  • Option 1 – Deaktivieren des Druckspooler-Dienstes
  • Wenn das Deaktivieren des Print Spooler-Dienstes für Ihr Unternehmen angemessen ist, verwenden Sie die folgenden PowerShell-Befehle:
  • Stop-Service -Name Spooler -Force
  • Set-Service -Name Spooler -StartupType Disabled

Durch das Deaktivieren des Druckspooler-Dienstes wird die Fähigkeit zum Drucken sowohl lokal als auch remote deaktiviert.

  • Option 2 – Deaktivieren des eingehenden Remote-Drucks über die Gruppenrichtlinie
  • Die Einstellungen können auch über die Gruppenrichtlinie wie folgt konfiguriert werden:
  • Computerkonfiguration / Administrative Vorlagen / Drucker
  • Deaktivieren der Richtlinie: „Annahme von Clientverbindungen zum Druckspooler zulassen“

Diese Richtlinie blockiert den Remote-Angriffsvektor, indem sie eingehende Remote-Druckvorgänge verhindert. Das System wird nicht mehr als Druckserver funktionieren, aber lokales Drucken auf einem direkt angeschlossenen Gerät ist weiterhin möglich.

Auf GitHub gibt es noch eine andere Anleitung, die ihr euch durchlesen könnt. (Danke an Chris für den Hinweis)

Windows Print Spooler – Sicherheitslücke bei Remotecode-Ausführung [Workaround][2.Update]
weitere Artikel zu diesem Thema
zu den aktuellen News

12 Kommentare zu “Windows Print Spooler – Sicherheitslücke bei Remotecode-Ausführung [Workaround][2.Update]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.