Betroffen ist der Print Spooler Dienst von Windows Systemen (spoolsv.exe). Ein Windows Dienst, der als universelle Schnittstelle zwischen dem Windows-Betriebssystem, den Anwendungen und den Lokalen- sowie Netzwerk-Druckern für die Verarbeitung von Druckaufträgen fungiert. Seit den 90er Jahren wird dieser Dienst genutzt und gilt als einer der fehleranfälligsten überhaupt. Weitere bekannte Lücken aus der Vergangenheit lauten PrintDemon, FaxHell oder Evil Printer.

Was muss nun getan werden?

Der Patch aus dem Juni deckt nur ein Teil der Lücke (CVE-2021-1675) ab, jedoch nicht sämtliche Angriffsvektoren:

Windows führt den Spooler Dienst standardmässig aus, auch auf Domain-Controller, Windows 7, 10 etc. Auch auf den meisten Windows Servern wird der Dienst standardmässig ausgeführt. Ein Teil der Sicherheitslücke wurde mit den Microsoft-Sicherheitsupdates vom Juni 2021 behoben. Wir empfehlen dringend ein Update auf den Windows-Systemen. Sämtlich verfügbare Updates findet Ihr auf der offiziellen Seite von Microsoft: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675

Einziger Workaround zur Zeit: Deaktivieren des Print Spool Dienstes.

Ist die Möglichkeit für ein Update nicht gegeben, gibt es die Variante den Print Spool Service zu deaktivieren. Da viele Geschäftsprozesse mit diesem Service in Verbindung stehen, raten wir zur Vorsicht bei dieser Deaktivierung. Um zu prüfen, ob ein Print Spool Service läuft, öffnen Sie den Task Manager und suchen nach dem Namen „Spooler“.

Wir testen aktuell verschiedene Varianten, um auch die neuen Angriffsformen zu erkennen und abzuwehren.

Update folgt.

Haben Sie Fragen zum aktuellen Vorfall? Kontaktieren Sie uns.