PrintNightmare (CVE-2021-34527)
Was ist PrintNightmare (CVE-2021-34527)?
PrintNightmare (CVE-2021-34527)Schwachstelle im Windows-Druckwarteschlangendienst von 2021, mit der ein wenig privilegierter Nutzer einen bösartigen Druckertreiber installieren und Code mit SYSTEM-Rechten ausführen konnte.
PrintNightmare (CVE-2021-34527) ist ein Fehler im Print-Spooler-Dienst von Windows (spoolsv.exe), der den Zugriff auf den RPC-Aufruf RpcAddPrinterDriverEx() nicht ordnungsgemäß einschränkte. Indem man den Spooler auf eine bösartige Druckertreiber-DLL verwies, die auf einer entfernten SMB/UNC-Freigabe gehostet war, konnte jeder authentifizierte Domänennutzer den mit SYSTEM-Rechten laufenden Spooler dazu bringen, diese DLL zu laden und auszuführen — was sowohl eine lokale Rechteausweitung als auch, gegen einen entfernten Spooler, vollständige Remotecodeausführung ermöglichte. Da der Print Spooler standardmäßig auf Domänencontrollern läuft, waren die Auswirkungen auf Active-Directory-Umgebungen gravierend.
Die Veröffentlichung verlief chaotisch: Sie teilt denselben RpcAddPrinterDriverEx-Codepfad wie CVE-2021-1675, eine als „wichtig“ eingestufte LPE, die im Juni 2021 gepatcht wurde. Als Forscher Ende Juni 2021 Proof-of-Concept-Code veröffentlichten — in der Annahme, er ziele auf die bereits gepatchte CVE-2021-1675 ab — hatten sie tatsächlich eine eigenständige, ungepatchte RCE ausgelöst, die Microsoft als CVE-2021-34527 neu zuwies. Entscheidend: Der Patch verhinderte die Ausnutzung nicht dort, wo Point and Print mit NoWarningNoElevationOnInstall = 1 konfiguriert war.
Microsoft veröffentlichte im Juli 2021 Out-of-Band-Updates sowie Härtungsempfehlungen für die Registry. Schutzmaßnahmen: alle PrintNightmare-bezogenen Patches einspielen, den Print Spooler auf Servern abschalten, die nicht drucken (insbesondere Domänencontroller), die Point and Print-Treiberinstallation auf Administratoren beschränken und ausgehendes SMB zu nicht vertrauenswürdigen Hosts blockieren.
flowchart TD
A[Wenig privilegierter Domänennutzer] --> B[RPC-Aufruf an spoolsv.exe<br/>RpcAddPrinterDriverEx]
B --> C[Spooler holt Treiber-DLL<br/>von SMB/UNC-Freigabe des Angreifers]
C --> D{Point-and-Print-<br/>Einschränkungen?}
D -->|Unbeschränkt| E[Spooler lädt DLL als SYSTEM]
D -->|Nur Administratoren| F[Installation blockiert]
E --> G[Codeausführung als SYSTEM]
G --> H[Lokale Rechteausweitung]
G --> I[Remotecodeausführung auf<br/>dem Domänencontroller]● Beispiele
- 01
Ransomware-Gruppen missbrauchen PrintNightmare, um auf SYSTEM zu eskalieren und Payloads auf Domänencontrollern auszurollen.
- 02
Red-Team-Operatoren nutzen PrintNightmare, um von einem Standard-Domänennutzer zum lokalen Administrator zu eskalieren.
● Häufige Fragen
Was ist PrintNightmare (CVE-2021-34527)?
Schwachstelle im Windows-Druckwarteschlangendienst von 2021, mit der ein wenig privilegierter Nutzer einen bösartigen Druckertreiber installieren und Code mit SYSTEM-Rechten ausführen konnte. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.
Was bedeutet PrintNightmare (CVE-2021-34527)?
Schwachstelle im Windows-Druckwarteschlangendienst von 2021, mit der ein wenig privilegierter Nutzer einen bösartigen Druckertreiber installieren und Code mit SYSTEM-Rechten ausführen konnte.
Wie schützt man sich gegen PrintNightmare (CVE-2021-34527)?
Schutzmaßnahmen gegen PrintNightmare (CVE-2021-34527) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für PrintNightmare (CVE-2021-34527)?
Übliche alternative Bezeichnungen: CVE-2021-34527, Spoolsv RCE.