Beispielcode für ungepatchte Windows-Sicherheitslücke durchgesickert

Stefan Beiersmann,
Windows (Bild: Microsoft)

Ein Bug in der Druckwarteschlange erlaubt das Einschleusen und Ausführen von Schadcode. Ein Angreifer kann unter Umständen die Kontrolle über einen Domänen-Server übernehmen. Forscher verwechseln die von ihnen entdeckte Schwachstelle mit einer bereits gepatchten Lücke.

Chinesische Sicherheitsforscher haben Details und Beispielcode für eine Sicherheitslücke in Windows veröffentlicht, obwohl bisher kein Patch für die Anfälligkeit vorliegt. Wie Bleeping Computer berichtet, handelt es sich jedoch um ein Versehen, da die Forscher aufgrund der ihnen vorliegenden Informationen davon ausgehen mussten, dass das Loch bereits gestopft wurde.

Bei der Anfälligkeit handelt es sich um einen Fehler in der Druckwarteschlange von Windows. Sie lässt sich zwar nur nach vorheriger Anmeldung ausnutzen, ein Angreifer wäre dann aber in der Lage, Schadcode einzuschleusen und die Kontrolle über einen Windows-Domänen-Server zu übernehmen. Dem Bericht zufolge wurde der durchgesickerte Proof-of-Concept-Exploit erfolgreich mit einer vollständig gepatchten Version von Windows Server 2019 getestet – mehreren Forschern gelang es, Code mit Systemrechten auszuführen.

Mit dem Juni-Patchday beseitigte Microsoft eine Schwachstelle in der Druckwarteschlange mit der Kennung CVE-2021-1675. Anfänglich war diese nicht als kritisch eingestuft. Sie sollte zudem lediglich eine Ausweitung von Benutzerrechten ermöglichen. Später erhöhte Microsoft den Schweregrad auf Kritisch und die Auswirkungen auf Remotecodeausführung, ohne jedoch irgendwelche Details zu nennen. Entdeckt wurde CVE-2021-1675 laut Microsoft von den Sicherheitsanbietern Tencent, Afine und Nsfocus.

Am 28. Juni meldete dem Bericht zufolge schließlich die Sicherheitsfirma QiAnXin, dass sich die Schwachstelle auch für eine Remotecodeausführung eignet, was sie auch in einem Video demonstrierte. Das ebenfalls in China ansässige Unternehmen Sangfor nahm daraufhin an, dass dies die Schwachstelle ist, die es selbst in der Druckwarteschlange entdeckt hatte, sprich CVE-2021-1675. Da diese als gepatcht galt, machte Sangfor seine technischen Details inklusive Proof-of-Concept für einen Exploit öffentlicht.

Mitja Koslek, CEO von Acros Security, bestätigte jedoch gegenüber Bleeping Computer, dass die Sangfor-Schwachstelle nicht mit den Details übereinstimmt, die zu CVE-2021-1675 vorliegen. Die von Sangfor veröffentlichte und als PrintNightmare bezeichnete Anfälligkeit sei eine Zero-Day-Lücke.

Sicherheitsforscher raten dem Bericht zufolge nun, den Druckerdienst auf Domänen-Controllern umgehend abzuschalten. Es wird demnach erwartet, dass vor allem Interneterpresser versuchen werden, die Schwachstelle für ihre Zwecke einzusetzen. Der nächste planmäßige Patchday findet am 13. Juli statt. Ob Microsoft bis dahin einen Fix entwickeln kann, bleibt abzuwarten.