In allen Windows-Versionen, sowohl Server und Desktop, gibt es eine Remote Code Execution (RCE) Schwachstelle (CVE-2021-34527) im Windows Print Spooler-Dienst, die besonders Windows Server-Systeme bedroht und bereits aktiv ausgenutzt wird.
Von Microsoft selbst gibt es bisher nur eine Bestätigung der Schwachstelle sowie Hinweise, wie das Problem durch Abschalten des Windows Printer Spooler Dienstes bis zum Vorliegen eines Sicherheitsupdates abgeschwächt werden kann.
Das Team von servereye hat sofort ein Skript entwickelt, das mit dem PowerShell Online Repository Überprüfungs-Sensor genutzt werden kann, um die Sicherheitslücke abzuschwächen.
Das von uns bereitgestellte Skript bietet nicht nur die die von Microsoft empfohlene Möglichkeit, sondern ermöglicht weitere Aktionen:
- Werden allgemein keine Druckerdienste benötigt -> Druckerdienste abschalten
- Werden ausschließlich lokale Druckerdienste benötigt -> Abschalten des Remote Druckens
- Werden alle Druckerdienste benötigt -> Änderung der Berechtigung des Spooler-Ordners
Durch die Nutzung in einem Sensor können die Einstellungen bei Bedarf auf einzelnen Systemen schnell angepasst werden.
servereye empfiehlt die Ausführung dieses Sensors bzw. Skripts auf allen Windows Server-Betriebssystemen zur Absicherung.
