Microsoft warnt: "Drucker-Alptraum" wird für Angriffe genutzt

Gestern wurde die Sicherheitslücke „PrintNightmare“ (Drucker-Alptraum) bekannt. Weil Microsoft bei seinem Patchday eine ähnliche Drucker-Schwachstelle geschlossen hatte, wurde vermutet, dass das Problem damit erledigt sei.

Jetzt hat Microsoft aber bestätigt, dass PrintNightmare nicht geschlossen ist. Sie betrifft alle Versionen von Windows 7 bis Windows 10 21H1 und Windows Server 2019. Laut Microsoft wird die Lücke bereits aktiv von Angreifern ausgenutzt.

Die Schwachstelle liegt im Printer-Spooler-Service von Windows. Authentifizierte User*innen, bzw. Angreifer*innen, die ein solches Konto übernommen haben, können damit aus der Ferne Schadcode mit Systemrechten auf dem Computer ausführen.

Handelt es sich bei dem Computer um einen Domain-Server, können alle Computer in dem Netzwerk attackiert werden. So könnten die Angreifer*innen etwa Ransomware installieren und damit ganze Netzwerke von Behörden, Unternehmen, Bildungseinrichtungen oder Krankenhäusern lahmlegen.

Microsoft empfiehlt den Druckerdienst zu deaktivieren

Da es momentan keinen Patch für die Lücke gibt, empfiehlt Microsoft Systemadministratoren den Printer-Spooler-Service zu deaktivieren. Danach kann man aber mit Computern weder lokal noch im Netzwerk drucken.

Die Alternative ist den Service über die Gruppenrichtlinien zu deaktivieren. Drucken über das Netzwerk ist dann ebenfalls nicht mehr möglich. Dafür kann aber noch gedruckt werden, wenn der Drucker direkt mit dem Computer verbunden ist.

Microsoft beschreibt auf seiner Website, wie der Spooler-Service deaktiviert werden kann.