[English]Die alte Print-Spooler-Schwachstelle CVE-2022-38028 in Windows ist wohl das bevorzugte Angriffsziel der russischen Hackergruppe Fancy Bear. Das hat die Analyse eines Angriffstools (‚GooseEgg‘ Malware) durch Microsoft ergeben. Auf aktuell gepatchten Windows-Betriebssystemen ist dieser Angriffsvektor aber nicht mehr ausnutzbar, wie Microsoft in einem Blog-Beitrag offen gelegt hat.
Analyse der GooseEgg-Malware
Das Sicherheitsteam von Microsoft Threat Intelligence hat sich über Jahre mit den Aktivitäten des in Russland ansässigen Bedrohungsakteurs Forest Blizzard (STRONTIUM) beschäftigt. Diese Hackergruppe, die im Umfeld des Nachrichtendiensts (GRU) angesiedelt sein muss, hat ein eigenes Tool mit dem Namen ‚GooseEgg‘ entwickelt, um Windows-Systeme anzugreifen und dann in Netzwerken die Berechtigungen zu erhöhen, Anmeldeinformationen abzugreifen und weiter in die IT-Infrastruktur einzudringen.
Laut dem Microsoft Blog-Beitrag Analyzing Forest Blizzard’s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials vom 22. April 2024 verwendet die Gruppe Forest Blizzard seit mindestens Juni 2020 (möglicherweise bereits seit April 2019) das Tool GooseEgg für seine Angriffe. Das Tool greift über eine JavaScript-Einschränkungsdatei die Sicherheitslücke CVE-2022-38028 im Windows Print Spooler-Dienst an, indem es diese JavaScript-Einschränkungsdatei ändert und dann mit Berechtigungen auf SYSTEM-Ebene ausführt.
Microsoft Aktivitäten von Forest Blizzard beobachten, bei denen GooseEgg im Rahmen von Aktivitäten nach der Kompromittierung gegen Ziele wie ukrainische, westeuropäische und nordamerikanische Regierungs-, Nichtregierungs-, Bildungs- und Transportorganisationen verwendet wurde. Obwohl es sich bei GooseEgg um einen einfachen Launcher handelt, kann dieser andere Anwendungen starten, die in der Befehlszeile mit erhöhten Berechtigungen angegeben werden. Dies ermöglicht den Angreifern weitere Ziele, wie z. B. die Ausführung von Remote-Code, die Installation einer Hintertür und die seitliche Bewegung durch kompromittierte Netzwerke, anzugehen.
GooseEgg wird in der Regel per Batch-Skript (execute.bat oder doit.bat) bereitgestellt. Dieses Batch-Skript schreibt die Datei servtask.bat, die Befehle zum Speichern/Komprimieren von Registrierungs-Hives enthält und ruft dann die ausführbare Datei GooseEgg auf, um sich permanent als geplante Aufgabe servtask.bat einzurichten.
Die GooseEgg-Binärdatei – die unter anderem die Dateinamen justice.exe und DefragmentSrv.exe enthält – führt einen von vier Befehlen, die jeweils unterschiedliche Ausführungspfade haben, aus. Microsoft beschreibt die betreffenden Befehle und vermutet, dass dadurch die Aktivität der Malware verschleiert werden soll. Anschließend wird ein Unterverzeichnis aus einer Liste unverfänglicher Namen (Microsoft, ESET etc.) angelegt, in das dann die folgenden Binärdaten aus dem Printer Driver Store kopiert werden.
- C:\Windows\System32\DriverStore\FileRepository\pnms003.inf_*
- C:\Windows\System32\DriverStore\FileRepository\pnms009.inf_*
Als Nächstes werden Registrierungsschlüssel erstellt, die effektiv einen benutzerdefinierten Protokoll-Handler erzeugen und eine neue CLSID registrieren, die als COM-Server für dieses „bösartige“ Protokoll dient. Der Exploit ersetzt die symbolische Verknüpfung des Laufwerks C: im Objektmanager und verweist auf das neu erstellte Verzeichnis. Wenn der PrintSpooler versucht,
C:\Windows\System32\DriverStore\FileRepository\pnms009.inf_amd64_a7412a554c9bc1fd\MPDW-Constraints.js
zu laden, wird er stattdessen auf das vom Akteur kontrollierte Verzeichnis umgeleitet, das die kopierten Treiberpakete enthält. Über weitere Schritte, die von Microsoft beschrieben werden, versuchen die Angreifer erhöhte Systemberechtigungen zu erlangen, um sich im System auszubreiten.
Schutz vor CVE-2022-38028
Microsoft hat am 11. Oktober 2022 ein Sicherheitsupdate für die von GooseEgg ausgenutzte Print Spooler-Schwachstelle und am 8. Juni 2021 und 1. Juli 2021 Updates für die PrintNightmare-Schwachstellen veröffentlicht. Wer die Patches installiert hat, ist nicht mehr angreifbar – fehlen die Patches, sollten die Administratoren diese schnellstmöglich nachholen.
Da der Print Spooler-Dienst für den Betrieb von Domänencontrollern nicht erforderlich ist, empfiehlt Microsoft außerdem, den Dienst auf Domänencontrollern zu deaktivieren. Andernfalls können Benutzer verfügbare Windows-Sicherheitsupdates für Druckspooler-Schwachstellen auf Windows-Domänencontrollern vor den Mitgliedsservern und Workstations installieren. Um Domänencontroller zu identifizieren, auf denen der Druckspooler-Dienst aktiviert ist, verfügt Microsoft Defender for Identity über eine integrierte Sicherheitsbewertung, die die Verfügbarkeit von Druckspooler-Diensten auf Domänencontrollern verfolgt. Weitere Details sind dem verlinkten Microsoft-Beitrag zu entnehmen.
Naja, wer den Patch von 2022 bis heute nicht eingespielt hat, hat noch ganz andere Probleme als die russischen Hacker.
Und nicht nur auf Domänencontrollern gehört der Druckdienst deaktiviert, sondern auf allen Servern außer auf Druckservern.
Leider kann nicht überall der Printspooler einfach so deaktiviert werden. Es gibt Anwendungen auf Servern, die den Printspooler benötigen.
Wir haben bei uns auf allen Servern den Printspooler per Richtlinie deaktiviert und auf denen, die ihn benötigen, ist er per Richtlinie aktiviert.
Es gibt ja auch noch diverse andere Services auf Servern, die nur in seltenen Fällen Anwendung finden. Die kann man ebenfalls deaktivieren. Microsoft bietet da auch für die jeweiligen Betriebssysteme eine Übersicht, nach der man entscheiden kann, ob ein Service im eigenen Umfeld benötigt wird, oder nicht.
Zitat
„Microsoft bietet da auch für die jeweiligen Betriebssysteme eine Übersicht, nach der man entscheiden kann, ob ein Service im eigenen Umfeld benötigt wird, oder nicht.“
Zitat Ende
Kannst du mir einen Link nennen, wo ich diese Übersicht finde? Die würde mir im Admin Alltag sicher weiterhelfen. Danke vorab.
In Google sind diverse Infos unter dem Begriff „Microsoft Server deaktivieren von Systemdiensten“ zu finden.
Das hier hatte ich damals für Server 2016 genutzt: https://learn.microsoft.com/de-de/windows-server/security/windows-services/security-guidelines-for-disabling-system-services-in-windows-server
Daran kann man sich ja ungefähr orientieren. Für neuere Systeme hab ich gerade bei Microsoft nichts gefunden.
Besten Dank.
Die Liste hilft schon mal für ein besseres Verständnis der Dienste und um meinen Kollegen die „Angst“ zu nehmen, dass nach dem Deaktivieren von ein paar Dienste die Windows Kiste immer noch ihren eigentlichen Dienst tut.
Was man alles deaktivieren muss käk. Auf einem echten Linux server ist so ein Unfug gar nicht erst aktiv. Aber ActiveDirectory ist sowieso ein totes Pferd:
[https://www.theregister.com/2024/04/21/microsoft_national_security_risk/]
Die Alternative ist?
Ein „echter Linux server“, soso.
Dein Link hat mit Active Directory wenig zu tun, lies das ruhig mal durch was dort steht.
The Register ist ne tolle Seite mit dem richtigen Kompass.
Das Ganze kann sich eigentlich nur auf das cloudbasierte Dienstekonstrukt beziehen, in Kombination mit den Marketing- und Datenabfluss-Marotten, die auf aktuellen Windows Clients verteilt werden.
„Auf einem echten Linux server“
was ist ein „echter“ Linux Server? Was für „echte Männer“? ;)
Gibt es auch „falsche“ Linux Server?
Aber es ist bei Linux jede Menge Zeugs im Kernel, das man u.U. gar nicht braucht.
Man müsste dann den Kernel neu kompilieren ohne das Zeugs, das man nicht braucht.
Danke für die Nebelkerze…
Solange es nicht wild alle möglichen Dienste anbietet und Ports öffnet, ist das „Zeugs“ dann doch ziemlich egal.
Naja, das ist das bei heutigen Betriebssystemen übliche: Ich packe alles Zeugs mit ins Betriebssystem.
Leider gibt es heute keine Betriebssysteme mehr, die sich auf den Kern eines Betriebssystems konzentrieren.
Überall ist Bloatware mit dabei, auch bei Linux.
[ ] Du weißt, was Bloatware ist.
[X] der Unterscheid, ob alles von Haus aus offen oder zu ist, ist dir in der Nebelkerzenrhetorik völlig egal
Nö. aber auch bei Linux ist nicht per Default alles zu, sondern sehr viel offen, was man nachträglich schließen muß, wenn man es nicht braucht.
Bei jedem Betriebssystem ist es so, das man da nach der Installation immer nachkonfigurieren muß.
Nur tun das die meisten Anwender nicht.
Was ist denn per default „sehr viel“ offen?
[X] Du wirfst munter Kernel, System und Distribution durcheinander
Und was fängst du alleine mit einem Linux-Kernel an, ohne eine Shell, ohne Treiber für Massenspeicher, Netzwerkkarte, Tastatur, Textausgabe/Konsole/… ???
Sobald das schon wieder in „Linux“ hinein interpretierst, ist das schon wieder eine Distribution (z.B. Debian, Ubuntu, …) und schon ist das Ding wieder löchrig wie ein Käse, weil Module, Prozesse, usw. laufen, die nicht jeder Benutzer bzw. jede Anwendung braucht.
Treibt der Neid und Hass wieder mal üble Blüten, 1ST1?
Kein Kommentar.
Der Artikel
https://www.theregister.com/2024/04/21/microsoft_national_security_risk
bezieht sich aber aufgrund der jüngsten Vorfälle aber eher nicht auf Active Directory sondern auf die Hacks in Azure. Das Eine hat nicht zwangsweise mit dem anderen zu tun. Aber ja, auch ein klassisches AD muss man gut konzipieren und härten. Ganz genauso wie ein klassisches Standardlinux frisch installiert auch nicht wirklich gehärtet ist…