Leitfaden zur dringenden Behebung: Absicherung von SAPSprint gegen CVE-2025-42937

• CVSS-Bewertung: 9,8 (kritisch) 
• Betroffene Komponente: SAPSprint Server (SAP-Druckdienst) 
• Risikostufe: Kritisch – Sofortiges Handeln erforderlich

Eine kritische Sicherheitslücke im SAPSprint-Dienst ermöglicht es nicht authentifizierten Angreifern, von einem entfernten Standort aus beliebige Befehle mit SYSTEM-Rechten auf Windows-Servern auszuführen. Da dieser Dienst häufig auf Standardports (515) ohne Authentifizierung läuft, stellt er ein vorrangiges Ziel für Angreifer dar, die sich einen ersten Zugang zu SAP-Umgebungen verschaffen wollen.

Dieser Leitfaden enthält eine geprüfte Schritt-für-Schritt-Anleitung zum Patchen, Absichern und Überprüfen Ihrer SAPSprint-Konfigurationen. Eine detaillierte Aufschlüsselung der Exploit-Kette finden Sie in unserer technische Analyse zu CVE-2025-42937.

Phase 1: Prüfung und Isolierung

Bevor Sie Patches installieren, müssen Sie Ihre Sicherheitsrisiken ermitteln. SAPSprint wird häufig auf „vergessenen“ Infrastrukturservern installiert, die möglicherweise nicht in Ihrem primären SAP-Bestandsverzeichnis aufgeführt sind.

1. Anfällige Instanzen identifizieren

SAPSprint ist ein Windows-Dienst, der vom eigentlichen SAP-Anwendungsserver getrennt ist. Er fungiert als Brücke für das Drucken aus der Ferne.

• Maßnahme: Überprüfen Sie Ihre Windows-Serverinfrastruktur auf den Dienst „sapsprint.exe“.
• Überprüfen Sie, ob Port 515 (TCP) für das Internet oder nicht vertrauenswürdige Netzwerksegmente freigegeben ist.
• Werkzeuge: Verwendung Onapsis Assess , um versteckte SAPSprint-Instanzen automatisch zu erkennen und anfällige Assets nach ihrer geschäftlichen Kritikalität zu priorisieren.

2. Notfallisolierung

Falls ein sofortiges Patchen nicht möglich ist, beschränken Sie den Netzwerkzugriff auf den Druckserver.

• Maßnahme: Konfigurieren Sie die hostbasierten Firewalls (Windows-Firewall) so, dass der Datenverkehr zum Port 515 nur von bekannten SAP-Anwendungsservern zugelassen wird.
• Warum: Dadurch wird die Angriffsfläche eingeschränkt, wodurch seitliche Bewegungen von kompromittierten Arbeitsplätzen oder durch externe Angreifer verhindert werden.

Phase 2: Anwenden der Korrektur (Patching)

Die primäre Abhilfe ist ein von SAP bereitgestellter Binärersatz.

Schritt 1: Laden Sie den Sicherheitshinweis herunter

• Quelle: Melden Sie sich beim SAP-Support-Portal an und rufen Sie SAP-Sicherheitshinweis 3630595.
• Hinweis: Achten Sie darauf, die richtige Version für Ihr spezifisches SAPSprint-Release herunterzuladen (in der Regel 7.70 oder höher).

Schritt 2: Service-Update (Ausfallzeit erforderlich)

Dies ist kein Hotfix; der Dienst muss neu gestartet werden.

• Vorgehensweise: Beenden Sie den SAPSprint-Dienst über „services.msc“ oder über die Befehlszeile (net stop SAPSprint).
• Maßnahme: Ersetzen Sie die vorhandene ausführbare Datei durch die gepatchte Version 7700.1.2.3 (oder eine neuere).
• Maßnahme: Starten Sie den Dienst neu und überprüfen Sie, ob er läuft.
• Hinweis: Lesen Sie den SAP-Hinweis 3636888, um weitere Informationen zu häufig gestellten Fragen bezüglich der Patch-Installation zu erhalten.

Phase 3: Absicherung durch Verschlüsselung

Durch das Patchen wird der Codefehler behoben, doch erst durch die Absicherung des Protokolls wird die eigentliche Ursache beseitigt. Das Standard-SAPLPD-Protokoll überträgt Druckdaten im Klartext, wodurch diese für Manipulationen anfällig sind.

Sichere Netzwerkkommunikation (SNC) konfigurieren

Sie müssen eine Verschlüsselung erzwingen, um zu verhindern, dass Angreifer schädliche Daten in den Druckstrom einschleusen.

1. Zugriffskonfiguration: Öffnen Sie den Druckeroptionen-Editor auf dem Host-Server.
2. Navigieren: Gehen Sie zu „SNC-Optionen“ > „SNC-Modus“.
3. Auswählen: Wählen „Nur sichere Verbindungen“.
   • Warnung: Wählen Sie nicht „Beide Verbindungen“ aus. Dieser „gemischte Modus“ ermöglicht es Angreifern, die Verbindung auf Klartext herunterzustufen und Ihre Sicherheitskontrollen zu umgehen.
4. Bibliothekspfad überprüfen: Stellen Sie sicher, dass der Parameter „snc/lib“ auf eine gültige SAP-Kryptografie-Bibliothek verweist, die auf dem Host installiert ist.

Phase 4: Validierung und Überwachung

Gehen Sie nicht einfach davon aus, dass der Patch gewirkt hat. Überprüfen Sie Ihre Körperhaltung aktiv.

1. Überprüfen Sie die Binärversion

• Rechtsklick auf „sapsprint.exe“ -> Eigenschaften -> Details.
• Vergewissern Sie sich, dass die Dateiversion mit der in der Sicherheitsmitteilung angegebenen Build-Nummer des gepatchten Builds übereinstimmt (z. B. 7700.1.2.3).

2. Auf verdächtige Aktivitäten achten

Auch nach der Installation des Patches sollten Sie weiterhin auf Ausnutzungsversuche achten, da diese auf einen hartnäckigen Angreifer in Ihrem Netzwerk hindeuten könnten.

• Protokollprüfung: Überprüfen Sie die SAPSprint-Protokolle (in der Regel unter C:\ProgramData\SAP\SAPSprint\Logs) auf fehlgeschlagene Schreibversuche in sensible Verzeichnisse wie C:\Windows\.
• Automatische Erkennung: Bereitstellen Onapsis Defend , um unbefugte Konfigurationsänderungen oder verdächtiges Dienstverhalten in Echtzeit zu erkennen und Ihr SOC zu benachrichtigen, bevor ein Angriff erfolgreich ist.

3. Verbindungstest

• Versuchen Sie, einen einfachen Druckauftrag von einem Rechner aus zu senden, auf dem SNC nicht konfiguriert ist.
• Erfolgskriterien: Die Verbindung sollte abgelehnt werden. Wenn der Druckauftrag ausgeführt wird, wird die Einstellung „Nur sichere Verbindungen“ nicht korrekt durchgesetzt.

Benötigen Sie Unterstützung bei der Überprüfung Ihrer Druckinfrastruktur? Sichern Sie noch heute Ihre kritischen SAP-Abläufe ab. Fordern Sie eine Bedrohungsanalyse an , um Ihre Landschaft auf nicht gepatchte SAPSprint-Server zu überprüfen und Ihre SNC-Konfigurationen zu verifizieren.

Häufig gestellte Fragen: Behebung von CVE-2025-42937

Muss der SAPSprint-Dienst neu gestartet werden, um den Patch zu installieren?

Ja. Es handelt sich hierbei um einen Austausch der Binärdatei, nicht um eine Konfigurationsänderung. Sie müssen den Dienst „sapsprint.exe“ anhalten, die ausführbare Datei durch die gepatchte Version (z. B. 7700.1.2.3) ersetzen und den Dienst anschließend neu starten. Rechnen Sie mit einer kurzen Unterbrechung der Druckdienste.

Kann ich die Einstellung „Beide Verbindungen“ für SNC verwenden, um ältere Drucker zu unterstützen?

Nein. Wenn Sie „Beide Verbindungen“ auswählen, ist Ihr System anfällig für Downgrade-Angriffe, bei denen ein Angreifer die Verbindung dazu zwingen kann, das unverschlüsselte (Klartext-)Protokoll zu verwenden. Sie müssen „Nur sichere Verbindungen“ auswählen, um das Risiko einer Protokollmanipulation vollständig zu minimieren.

Wie kann ich überprüfen, ob meine SAPSprint-Instanz anfällig ist, ohne einen Scan durchzuführen?

Sie können die Dateiversion manuell überprüfen. Klicken Sie mit der rechten Maustaste auf „sapsprint.exe“ (normalerweise unter „C:\Program Files\SAP\SAPSprint\“), wählen Sie „Eigenschaften“ > „Details“ und überprüfen Sie die Dateiversion. Wenn diese niedriger ist als die in SAP-Hinweis 3630595 angegebene Version (z. B. niedriger als 7700.1.2.3), ist Ihre Instanz anfällig.

Betrifft diese Sicherheitslücke den zentralen SAP-Anwendungsserver?

Nein, diese Sicherheitslücke betrifft ausschließlich den SAPSprint-Dienst, einen eigenständigen Windows-Dienst, der für das Drucken aus der Ferne genutzt wird. Durch die Kompromittierung des SAPSprint-Servers kann ein Angreifer jedoch SYSTEM-Rechte auf diesem Windows-Host erlangen, die er dann als Sprungbrett für Angriffe auf die gesamte SAP-Landschaft nutzen kann.

Was ist, wenn ich das Update nicht sofort installieren kann?

Falls ein sofortiges Patchen nicht möglich ist, müssen Sie den Dienst isolieren. Konfigurieren Sie die Windows-Firewall auf dem Host-Server so, dass der Zugriff auf Port 515 (TCP) eingeschränkt wird, sodass nur Ihre bekannten SAP-Anwendungsserver eine Verbindung herstellen können. Dies verhindert unbefugte Verbindungen von außen, behebt jedoch nicht den zugrunde liegenden Codefehler.

Ich finde SAPSprint nicht in meinem SAP-Hauptbestand. Könnte ich trotzdem betroffen sein?

Ja. SAPSprint wird häufig auf Versorgungsservern, Druckservern oder sogar auf vergessener Infrastruktur installiert, die nicht als Teil der zentralen SAP-Instanz erfasst wird. Wir empfehlen dringend, Ihre gesamte Windows-Serverlandschaft auf den Dienst „sapsprint.exe“ zu überprüfen, der auf Port 515 läuft.