Der Vorfall
Im Juni 2021 wurde eine kritische Sicherheitslücke im Windows Print Spooler-Dienst öffentlich, die unter dem Namen PrintNightmare bekannt wurde (CVE-2021-34527). Der Print Spooler ist ein Systemdienst, der auf praktisch jedem Windows-Rechner aktiv ist – er verwaltet Druckaufträge und die Installation von Druckertreibern. Die Schwachstelle erlaubte es Angreifern, beliebigen Code mit SYSTEM-Rechten auszuführen – den höchsten Berechtigungen, die Windows kennt.
Die Entdeckungsgeschichte war chaotisch: Chinesische Sicherheitsforscher veröffentlichten versehentlich einen funktionierenden Proof-of-Concept-Exploit auf GitHub, weil sie glaubten, Microsoft habe die Schwachstelle bereits gepatcht. Als sie ihren Fehler bemerkten, löschten sie den Code – aber da war er bereits kopiert und verbreitete sich rasant im Internet.
Betroffen waren alle Windows-Versionen: Windows 7, 8, 10, 11 sowie alle Windows-Server-Versionen. Da der Print Spooler standardmäßig auf allen Windows-Systemen aktiv ist – einschließlich Domain Controllern – war die Angriffsfläche enorm. Microsoft brauchte mehrere Versuche, um die Schwachstelle vollständig zu patchen. Der erste Patch (KB5004945) am 6. Juli 2021 behob das Problem nur teilweise – Sicherheitsforscher demonstrierten sofort, dass er umgangen werden konnte.
Die Schwachstelle wurde schnell von verschiedenen Bedrohungsakteuren ausgenutzt. Die Ransomware-Gruppen Magniber und Vice Society verwendeten PrintNightmare-Exploits, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. Auch die chinesische APT-Gruppe DEV-0090 nutzte die Lücke für Spionageangriffe.
Wie der Angriff funktionierte
PrintNightmare nutzte eine fundamentale Designschwäche in der Art und Weise aus, wie Windows Druckertreiber installiert:
Stufe 1 – Erreichbarkeit des Ziels: Der Angreifer benötigte lediglich einen authentifizierten Zugang zum Netzwerk – etwa ein reguläres Benutzerkonto mit minimalen Rechten, das über Phishing, Credential-Stuffing oder andere Methoden erlangt werden konnte. In manchen Konfigurationen war sogar ein Angriff ohne jegliche Authentifizierung möglich.
Stufe 2 – Ausnutzung der Print Spooler-Schwachstelle: Der Angreifer nutzte die Windows-Funktion zum Installieren von Druckertreibern aus der Ferne. Der Print Spooler prüfte nicht korrekt, ob der anfragende Benutzer die nötigen Berechtigungen hatte, und lud den bereitgestellten „Druckertreiber" – in Wahrheit eine bösartige DLL-Datei – mit SYSTEM-Rechten.
Stufe 3 – Code-Ausführung mit höchsten Rechten: Die bösartige DLL wurde vom Print Spooler-Dienst ausgeführt, der unter dem SYSTEM-Konto läuft. Damit hatte der Angreifer volle Kontrolle über das System – höhere Rechte als ein normaler Administrator. Er konnte beliebige Software installieren, Benutzerkonten anlegen, Dateien lesen und schreiben und Sicherheitsmechanismen deaktivieren.
Stufe 4 – Installation von Backdoors und Persistenz: Mit SYSTEM-Rechten installierten die Angreifer typischerweise Backdoors wie Cobalt Strike oder Meterpreter, die ihnen dauerhaften Zugang zum System sicherten. Sie legten neue Administratorkonten an und manipulierten die Windows-Registry, um ihre Tools automatisch beim Start auszuführen.
Stufe 5 – Laterale Bewegung: Von einem kompromittierten System aus bewegten sich die Angreifer lateral durch das Netzwerk. Da der Print Spooler auf allen Windows-Rechnern aktiv war, konnte der Exploit auf jedem erreichbaren System wiederholt werden – einschließlich Domain Controllern, was den Angreifern die vollständige Kontrolle über die gesamte Active-Directory-Umgebung gab.
Stufe 6 – Ransomware-Verteilung oder Datenexfiltration: Je nach Ziel der Angreifer folgte entweder die Verschlüsselung aller erreichbaren Systeme (Magniber, Vice Society) oder die gezielte Exfiltration vertraulicher Daten (DEV-0090).
Warum Virenscanner versagten
PrintNightmare war ein besonders schwieriger Fall für Sicherheitssoftware, weil der Angriff vollständig über legitime Windows-Systemfunktionen ablief:
Die „Installation eines Druckertreibers" ist eine alltägliche, legitime Aktion. Der Print Spooler ist ein signierter Microsoft-Systemdienst. Der Installationsprozess nutzt standardmäßige Windows-APIs. Für einen Virenscanner war es extrem schwierig, eine legitime Druckertreiber-Installation von einer bösartigen zu unterscheiden – insbesondere in den ersten Tagen nach Bekanntwerden der Schwachstelle, als noch keine spezifischen Signaturen existierten.
Die Ausführung der bösartigen DLL erfolgte im Kontext des Print Spooler-Dienstes – eines vertrauenswürdigen Systemprozesses. Viele Sicherheitstools überwachten die Aktionen dieses Prozesses nicht besonders streng, da er zum Kern des Betriebssystems gehörte.
Da der Exploit aus der Ferne ausgeführt wurde, gab es keinen verdächtigen Dateidownload, keinen E-Mail-Anhang und keine verdächtige Webseite, die ein Webfilter oder Mail-Scanner hätte blockieren können. Der Angriff kam direkt über das Netzwerk, über einen Port und ein Protokoll, die für den regulären Betrieb nötig waren.
Microsofts eigener Patch brauchte mehrere Anläufe. Wenn selbst der Hersteller des Betriebssystems Wochen brauchte, um die Schwachstelle vollständig zu schließen, wie hätte ein Drittanbieter-Virenscanner den Angriff zuverlässig blockieren sollen?
So hätte Deep Freeze geschützt
Deep Freeze bietet gegen PrintNightmare-basierte Angriffe einen fundamentalen Schutz, der unabhängig vom Patch-Status des Systems wirkt:
Bösartige DLLs werden beim Neustart entfernt: Die zentrale Angriffstechnik – das Laden einer manipulierten DLL über den Print Spooler – hinterlässt Dateien auf der Systempartition. Auf einem eingefrorenen System werden diese Dateien beim nächsten Reboot vollständig entfernt. Der Schadcode hat keine Möglichkeit, sich dauerhaft einzunisten.
Backdoors und neue Benutzerkonten verschwinden: Die von Angreifern installierten Cobalt-Strike-Beacons, die angelegten Administratorkonten, die manipulierten Registry-Einträge – all das wird beim Neustart rückstandslos gelöscht. Der Angreifer verliert seinen gesamten Zugang.
Die Lücke zwischen Exploit und Patch wird überbrückt: Microsoft brauchte mehrere Wochen und mehrere Versuche, um PrintNightmare vollständig zu patchen. In dieser Zeit waren alle ungepatchten Systeme verwundbar. Deep Freeze überbrückt diese kritische Phase: Selbst wenn ein System erfolgreich angegriffen wird, wird der Schaden beim nächsten Neustart eliminiert.
Laterale Bewegung wird massiv erschwert: Wenn jeder Arbeitsplatz im Netzwerk bei jedem Neustart in einen sauberen Zustand zurückkehrt, können Angreifer keine persistenten Stützpunkte für ihre laterale Bewegung einrichten. Jeder kompromittierte Rechner wird beim nächsten Reboot „geheilt".
Kein Wettlauf mit Patches: Systemadministratoren standen unter enormem Druck, den Patch so schnell wie möglich auszurollen – während der erste Patch noch nicht einmal funktionierte. Mit Deep Freeze hätten sie in Ruhe auf einen vollständigen Patch warten können, ohne dass ihre Systeme in der Zwischenzeit dauerhaft kompromittiert werden konnten.
Die Lehre
- Systemdienste, die auf jedem Windows-Rechner laufen, sind Hochwertziele. Der Print Spooler war ein perfekter Angriffsvektor: universell vorhanden, standardmäßig aktiv, mit hohen Rechten ausgestattet. Deep Freeze schützt auch dann, wenn ein solcher Dienst kompromittiert wird.
- Patches kommen nicht immer rechtzeitig – und manchmal sind sie beim ersten Versuch nicht vollständig. Die Zeit zwischen Bekanntwerden einer Schwachstelle und einem funktionierenden Patch ist die gefährlichste Phase. Eine eingefrorene Systempartition überbrückt diese Lücke.
- Öffentlich verfügbare Exploits werden sofort ausgenutzt. Innerhalb von Stunden nach der versehentlichen Veröffentlichung des Proof-of-Concept nutzten Angreifer weltweit die Schwachstelle aus. Reaktive Sicherheit ist zu langsam – Du brauchst einen Schutz, der proaktiv wirkt.
- SYSTEM-Rechte bedeuten vollständige Kontrolle – aber nur bis zum nächsten Neustart, wenn Deep Freeze aktiv ist. Die höchsten Berechtigungen im System helfen dem Angreifer nichts, wenn alle Änderungen beim Reboot gelöscht werden.
- Druckertreiber sind kein harmloses Thema. Was wie eine banale Systemfunktion klingt, war der Eintrittspunkt für Ransomware-Gruppen und staatlich gesteuerte Hacker. Unterschätze nie die Angriffsfläche, die Dein Betriebssystem bietet.