Forscher von Sangfor haben kürzlich versehentlich einen Proof-of-Concept (PoC) für eine ungepatchte kritische Schwachstelle im Microsoft Windows Print Spooler Service veröffentlicht. Die Schwachstelle mit der Bezeichnung PrintNightmare ermöglicht es Angreifern, aus der Ferne Code mit Systemrechten auszuführen. Obwohl der PoC von Sangfor schnell gelöscht wurde, nachdem seine Veröffentlichung entdeckt wurde, war der Schaden bereits angerichtet - er war bereits auf GitHub.
Obwohl der Windows Print Spooler eine alte Komponente ist, ist er immer noch allgegenwärtig. Und da dieses Exploit böswilligen Akteuren die Möglichkeit bietet, Programme zu installieren, Daten zu ändern und neue Administratorkonten zu erstellen, sollten Sie die Reaktion von Dritten, die Zugriff auf die Systeme und Daten Ihres Unternehmens haben, überprüfen.
6 Fragen an Dritte zur Sicherheitslücke im Windows-Druckspooler
Prevalent hat sechs kritische Fragen vorbereitet, die Dritten gestellt werden sollten, um deren Gefährdung und Reaktion auf diese Zero-Day-Schwachstelle zu ermitteln. Siehe die Tabelle unten.
| Fragen | Mögliche Antworten |
|---|---|
| 1) Hat die Organisation festgestellt, ob sie von der jüngsten Windows Print Spooler Remote Code Execution Vulnerability betroffen ist?
(Bitte wählen Sie eine aus.) |
a) Die Organisation hat geprüft und festgestellt, dass sie von der kürzlich aufgetretenen Windows Print Spooler Remote Code Execution Vulnerability betroffen ist.
b) Die Organisation hat geprüft und festgestellt, dass sie nicht von der kürzlich aufgetretenen Windows Print Spooler Remote Code Execution Vulnerability betroffen ist. |
| 2) Zwischen dem 1. und 7. Juli 2021 wurden Sicherheitsupdates für die Systeme Windows Server 2012, Windows Server 2016, Windows 7, Windows 8 und Windows 10 veröffentlicht. Hat die Organisation die erforderlichen Sicherheitsupdates für ihre Windows-Systeme eingespielt?
(Bitte wählen Sie eine aus.) |
a) Ja, die Organisation hat Patches heruntergeladen und angewendet.
b) Nein, die Organisation ist nicht in der Lage, Sicherheits-Patches auf ihre Systeme aufzuspielen. c) Nein, die Organisation hat noch keine Sicherheitspatches auf ihre Systeme aufgespielt. |
| 3) Führt die Organisation weiterhin den Print Spooler-Dienst aus?
(Bitte wählen Sie eine aus.) |
a) Ja, die Organisation benötigt den Print Spooler-Dienst zur Ausführung.
b) Die Organisation verlangt, dass der Print Spooler-Dienst nicht auf deaktiviert gesetzt ist. c) Nein, der Druckspooler-Dienst ist deaktiviert. |
| 4) Wurden die folgenden Maßnahmen ergriffen, wenn die Organisation den Druckspooler-Dienst weiterhin benötigt?
Option 1: Durch die Deaktivierung des Print Spooler-Dienstes wird die Möglichkeit, sowohl lokal als auch aus der Ferne zu drucken, ausgeschaltet. Option 2: Durch die Deaktivierung des eingehenden Remote-Drucks wird der Remote-Angriffsvektor blockiert, indem eingehende Remote-Druckvorgänge verhindert werden. Das System funktioniert dann nicht mehr als Druckserver, aber das lokale Drucken auf einem direkt angeschlossenen Gerät ist weiterhin möglich. (Bitte wählen Sie alle zutreffenden Angaben aus.) |
a) Die Deaktivierung des Print Spooler-Dienstes wurde als angemessen für die Organisation identifiziert, und PowerShell-Befehle zum Anhalten des Spooler-Dienstes und zum Deaktivieren des Starts des Spooler-Dienstes wurden implementiert.
b) Das Unternehmen hat den eingehenden Remote-Druck über die Gruppenrichtlinie deaktiviert. c) Die Organisation hat den Spooler-Dienst oder den eingehenden entfernten Druck noch nicht deaktiviert. |
| 5) Wurden die folgenden Registrierungseinstellungen in Übereinstimmung mit den Microsoft-Anweisungen überprüft und aktualisiert?
(Bitte wählen Sie alle zutreffenden Angaben aus.) |
a) HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTPrintersPointAndPrint
b) NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht definiert (Standardeinstellung) c) UpdatePromptSettings = 0 (DWORD) oder nicht definiert (Standardeinstellung) |
| 6) Wurde die Gruppenrichtlinie für Punkt- und Druckeinschränkungen in Übereinstimmung mit der Microsoft-Anleitung in eine sichere Konfiguration geändert, wenn die Organisation als von der Sicherheitslücke betroffen identifiziert wurde?
(Bitte wählen Sie alle zutreffenden Angaben aus.) |
a) Die Gruppenrichtlinieneinstellungen für Zeige- und Druckeinschränkungen wurden auf "Aktiviert" konfiguriert.
b) "Warnung und Eingabeaufforderung anzeigen" wurde als Sicherheitsabfrage für die Option "bei der Installation von Treibern für eine neue Verbindung" ausgewählt. c) "Warnung und Eingabeaufforderung anzeigen" wurde als Sicherheitsabfrage für die Option "beim Aktualisieren von Treibern für eine bestehende Verbindung" ausgewählt. Nächste Schritte für die Reaktion auf Vorfälle und die Überwachung von Sicherheitsverletzungen durch Dritte |
Prevalent hilft dabei, die Auswirkungen von Schwachstellen wie PrintNightmare schnell zu erkennen und zu mindern, indem es eine Plattform für die zentrale Verwaltung von Anbietern, die Durchführung gezielter ereignisspezifischer Bewertungen, die Bewertung identifizierter Risiken und den Zugriff auf Anleitungen zur Abhilfe bietet. Der Third-Party Incident Response Service ist ein verwalteter Service, der es Ihrem Team ermöglicht, die Erfassung kritischer Reaktionsdaten auszulagern und sich stattdessen auf die Behebung von Risiken zu konzentrieren.
Ergänzend zum Incident Response Service bietet Prevalent eine Lösung zur kontinuierlichen Überwachung von Sicherheitsverletzungen im Internet und in Unternehmen an, die regelmäßige Updates zu Sicherheitsverletzungen, negativen Nachrichten und Cyber-Vorfällen wie bösartige Aktivitäten im Dark Web über Ihre Lieferanten liefert. Zusammen tragen diese Lösungen dazu bei, die Erkennung von Sicherheitsvorfällen zu automatisieren und die Reaktion zu beschleunigen.
Setzen Sie sich noch heute mit uns in Verbindung, um zu erfahren, wie Prevalent dabei helfen kann, Transparenz in die Sicherheitskontrollen und -prozesse von Drittanbietern zu bringen.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
