Absicherung von Endpunkt-Schwachstellen mit EPM
Im Juli 2021 wurde eine große Sicherheitslücke von Microsoft bekannt, von der Millionen von Benutzern weltweit betroffen waren. Diese Windows Print Spooler Remote Code Execution Schwachstelle (CVE-2021-34527 & CVE-2021-36958) ermöglichte es Benutzern, Druckertreiber zu installieren, indem sie die lokalen Benutzerrechte erhöhten. Während die Benutzer dies für ihre alltäglichen Bedürfnisse als bequem empfinden mögen, sind die Systeme durch diese Erhöhung der Berechtigungen ungeschützt und anfällig für Cyber-Bedrohungen. Ein Angreifer könnte dieses Schlupfloch leicht ausnutzen, um mit Administratorrechten Malware zu installieren, Daten zu stehlen oder zu verschlüsseln, kritische Systeme zu stören und anderweitig Schaden in IT-Infrastrukturen anzurichten.
Dies ist genau die Art von Entdeckung, die IT-Administratoren nachts wachhält: eine große Bedrohung für die Cybersicherheit auf allen Windows 10-Geräten, die weltweit im Einsatz sind. Nach der Entdeckung hat Microsoft Maßnahmen ergriffen. Aber erst nach mehreren Versuchen konnte eine der beiden identifizierten Schwachstellen erfolgreich gepatcht werden. Zum Zeitpunkt der Erstellung dieses Artikels ist die zweite Schwachstelle immer noch nicht gepatcht.
Was wäre, wenn es eine Möglichkeit gäbe, Endgeräte und IT-Infrastrukturen vor Sicherheitslücken zu schützen, unabhängig von der Entdeckungsgeschwindigkeit oder den Patches? Als ob es sie nie gegeben hätte?
Es gibt sie…. Doch zunächst wollen wir uns ansehen, was genau mit PrintNightmare passiert ist.
Was ist die PrintNightmare-Schwachstelle?
Es gibt zwei Hauptschwachstellen, die von Branchenexperten im Detail beschrieben wurden. Diese Schwachstellen beziehen sich auf:
- Privilegieneskalation (CVE-2021-1675)
- Remote Code Execution (RCE), die die Remote-Injektion von DLLs ermöglicht (CVE-2021-34527)
Darüber hinaus wurde am 11. August 2021 eine neue Sicherheitslücke in Windows Print Spooler bekannt gegeben (CVE-2021-36958), die es einem Angreifer ebenfalls ermöglicht, SYSTEM-Rechte zu erlangen und beliebigen Code auszuführen.
Mit einem solch einfachen Einstiegspunkt in erhöhte Rechte könnte ein Angreifer beliebigen Code mit SYSTEM-Rechten ausführen, wenn er diese Sicherheitslücke erfolgreich ausnutzt. Folglich könnte der Angreifer dann Programme installieren oder neue Konten erstellen.
Da es einige Zeit dauern kann, bis ein Patch für eine Sicherheitslücke veröffentlicht wird, wie es bei CVE-2021-36958 der Fall ist, ist es von entscheidender Bedeutung, diese Art der Ausnutzung schnell und effektiv zu stoppen, um zu verhindern, dass Malware oder andere bösartige Aktivitäten in Unternehmenssystemen Schaden anrichten.
Warum ist die Treiberinstallation ein Print Nightmare (Druckalptraum)?
Der Windows Print Spooler ist standardmäßig auf allen Windows-basierten Systemen aktiviert, was bedeutet, dass praktisch jeder Windows 10-Rechner weltweit dem Risiko eines Exploits ausgesetzt sein könnte. Dies ist eine besondere Bedrohung für Domänencontroller (DC) und alle anderen Systeme, die mit Systemverwaltungsrechten ausgeführt werden. Darüber hinaus bedroht diese Schwachstelle auch Benutzersysteme, da es für Standardbenutzer in der Regel erforderlich ist, Druckertreiber auf ihren Arbeitsstationen zu installieren. Und der Entzug dieser Fähigkeit würde sich negativ auf ihre tägliche Produktivität auswirken.
Die Windows Print Spooler-Schwachstelle wird jedoch gefährlich, da ein Angreifer sie ausnutzen und somit erhöhte SYSTEM-Rechte erlangen kann, selbst wenn dieser Benutzer vor dem Angriff keine höheren Rechte auf dem System hatte. Daher kann ein Angreifer beliebige Programme installieren, Daten anzeigen, löschen oder ändern oder neue Benutzerkonten erstellen.
Vorbeugung eines PrintNightmare-Angriffs
Cybersicherheit ist eine komplexe Aufgabe für IT-Abteilungen in Unternehmen, deren Ziel, IT-Ressourcen zu schützen, mit den geschäftlichen Anforderungen an Effizienz und einfache Arbeitsabläufe in Konflikt geraten kann. Bei der Definition und Überwachung autorisierter Aktivitäten ist es oft recht schwierig, bösartiges Verhalten von “normalem” Verhalten wie der Installation eines Druckertreibers zu unterscheiden.
Sicherheitsexperten müssen ein Gleichgewicht zwischen dem Sperren des Zugriffs auf die IT-Infrastruktur und der Erleichterung der Produktivität der Benutzer finden. Welche Optionen gibt es, um das Risiko zu vermeiden oder zu mindern und dem Benutzer trotzdem die Möglichkeit zu geben, Druckertreiber zu installieren?
Die erste Option ist die Konfiguration von Umgehungslösungen, die von Microsoft und der Sicherheitsgemeinschaft empfohlen werden:
- Deaktivieren Sie den Windows-Druckspooler auf allen (kritischen) Systemen
- Ändern Sie die Windows-Registrierung wie unter den folgenden Links beschrieben:
- Einschränkung der Installation neuer Druckertreiber nach Anwendung der Updates vom 6. Juli 2021
Eine weitere Möglichkeit ist es, auf Workarounds zu verzichten und stattdessen die Berechtigungen auf Windows-Systemen direkt zu verwalten. Dadurch können die Auswirkungen der Sicherheitslücke neutralisiert werden, unabhängig davon, ob das Problem erkannt, gepatcht oder behoben wurde. Durch die Verwaltung von Endpunktberechtigungen müssen IT-Administratoren nicht darauf warten, dass Microsoft einen Patch findet, der funktioniert – erhöhte Berechtigungen sind gesichert und nur autorisierte Prozesse sind zulässig. Ein weiterer wichtiger Faktor ist, dass die legitime Nutzung von IT-Systemressourcen, wie z. B. das Drucken, weiterhin möglich ist.
Absicherung von Windows mit Endpoint Privilege Management
Wie bei den meisten Sicherheitslücken ist Schnelligkeit entscheidend. Ein 0-Day-Exploit könnte bereits entwickelt sein und auf Schwachstellen abzielen (siehe PrintNightmare). Ohne nach Mustern suchen zu müssen, können IT-Administratoren mit einer Endpoint Privilege Management (EPM)-Lösung Regeln definieren, die einen Angriff stoppen, bevor er überhaupt eine Ausnutzungsphase erreicht. Mit einer EPM-Lösung können wir neue Angriffsvektoren in Betracht ziehen, anstatt nach Malware-Mustern suchen zu müssen, und können die EPM-Strategie entsprechend anpassen.
Schutz vor Schwachstellen, egal ob sie gepatcht sind oder nicht!
Mit der richtigen EPM-Lösung können Sicherheitsanalysten schnell auf jede Schwachstelle reagieren. Es handelt sich um einen proaktiven Abwehrmechanismus, der sowohl auf bekannte als auch auf unbekannte Schwachstellen angewendet werden kann, um die IT-Infrastruktur des Unternehmens vor Malware, Ransomware und anderen Angriffen zu schützen.
WALLIX BestSafe EPM deckt die Grundlagen jedes Systems ab, das Privilegien von Prozessen, von Anwendungen und Benutzern oder von Benutzergruppen verwaltet. Das bedeutet, dass die Sicherheitsanalysten nicht wissen müssen, dass es eine Schwachstelle gibt (auch wenn es hilfreich ist!) oder sogar Techniken oder Malware kennen müssen, die von einem Angreifer verwendet werden, um sich dagegen zu verteidigen.
Im Fall von PrintNightmare ist es zum Beispiel nicht notwendig, die empfohlenen Abhilfemaßnahmen wie die Deaktivierung des Windows Print Spooler Service zu befolgen. WALLIX BestSafe kann den Windows Spool Service so steuern, dass jeder privileged child process, der von diesem Dienst gestartet wird, blockiert wird, oder verhindern, dass die Treiber auf die Festplatte geschrieben werden – und damit die Ausführung verhindern, da dies ein notwendiger Teil des Prozesses ist.
Es sind keine weiteren manuellen Maßnahmen oder die Durchsetzung von GPOs erforderlich, die unerwünschte Nebenwirkungen haben könnten. Die Benutzer können nach wie vor einen neuen Drucker hinzufügen, und es werden keine erhöhten Berechtigungen ausgesetzt. Und was die Geschwindigkeit betrifft, so kann jedes System, auf dem der WALLIX EPM-Agent läuft, innerhalb kürzester Zeit geschützt werden – lediglich die Zeit, die benötigt wird, um die neue Regel auf diese Systeme zu übertragen. Es besteht also keine Notwendigkeit, auf einen Patch zu warten, dessen Entwicklung Monate dauern und der sogar negative Nebenwirkungen haben könnte.
Mit WALLIX BestSafe gibt es keine Albträume: Schlafen Sie ruhig mit Endpoint Privilege Management.