Workaround: In den Windows-Diensten kann die Druckerwarteschlange deaktiviert werden
Doch nicht ganz so "gefährlich"?
Microsoft hat jetzt weitere Einzelheiten zu PrintNightmare unter CVE-2021-34527 ergänzt. Da heißt es nun unter anderem, dass Microsoft die Sicherheitslücke mit einer CVSS-Basisbewertung (Common Vulnerability Scoring System) von 8,8 versieht. Das liegt noch im Bereich der als hohe Bedrohung eingestuft wird, die Einordnung "kritisch" beginnt bei 9,0 Punkten. Der Basis-Score kann maximal 10,0 betragen. Die US-Sicherheitsbehörde CISA stufte die Schwachstelle übrigens anders als Microsoft selbst als kritisch ein.Zudem hat Microsoft eine zeitliche Bewertung von 8,2 Punkten vorgenommen. Der temporale Score misst die aktuelle Ausnutzbarkeit einer Schwachstelle basierend auf einer Reihe von Faktoren: Der Basiswert ist 8,8, weil Microsoft festgestellt hat, dass der Angriffsvektor auf Netzwerkebene liegt, eine geringe Angriffskomplexität und geringe Privilegien erfordert, keine Benutzerinteraktion erfordert und zu einem "Totalverlust" der Vertraulichkeit, Integrität und Verfügbarkeit der Ressourcen einer Organisation führen kann. Die zeitliche Bewertung liegt bei 8,2, da funktionaler Exploit-Code im Internet leicht verfügbar ist und über alle Windows-Versionen hinweg funktioniert, detaillierte Berichte darüber existieren und einige offizielle Abhilfemethoden vorgeschlagen wurden.
Abhilfe kommt
Eine ähnliche Sicherheitslücke wurde bereits mit dem Patchday-Update im Juni behoben. Diese hatte einen CVSS-Basis-Score von 7,8. Bis das nächste Update von Microsoft zur Verfügung steht, wurde als Abhilfemaßnahme empfohlen, den Windows Print Spooler-Dienst über die Gruppenrichtlinie zu deaktivieren. Neu hinzugekommen ist die Empfehlung, Mitgliedschaften und die verschachtelte Gruppenmitgliedschaft einiger Entitäten zu überprüfen. Das Unternehmen schlägt vor, die Anzahl der Mitglieder so gering wie möglich zu halten und idealerweise auf Null zu setzen, wenn möglich.Das Unternehmen warnt jedoch davor, dass das Entfernen von Mitgliedern aus einigen dieser Gruppen zu Kompatibilitätsproblemen führen kann. Um auf dem Laufenden zu bleiben, sollte man das Microsoft Security Response Center nach neuen Informationen zu CVE-2021-34527 durchsuchen.