[English]Microsoft hat zu Berichten, dass die außerplanmäßigen Updates zum Schließen der PrintNightmare-Schwachstelle CVE-2021-34527 im Windows Print-Spooler-Dienst nicht alle Risiken beseitigen würden, Stellung bezogen. Die Botschaft lautet: Wenn die Sonderupdates installiert werden und Windows richtig konfiguriert und betrieben wird, gibt es kein bekanntes Szenario, welches eine Ausnutzung der Schwachstellen ermöglicht. Hier als Nachgang eine Übersicht über dieses Thema.
Anzeige
Die PrintNightmare-Schwachstellen
Im Windows Print-Spooler-Dienst gab es diverse Schwachstellen, die mit den regulären Juni 2021-Sicherheitsupdates (siehe z.B. Patchday: Windows 10-Updates (8. Juni 2021))geschlossen werden sollten. Ende Juni 2021 stellte sich aber heraus, dass die Sicherheitsupdates vom 8. Juni 2021 nicht wirklich wirkten. Es gab eine neue Schwachstelle (CVE-2021-1675) im Windows Print-Spooler-Dienst, die eine Remote Code Execution (RCE) ermöglichte. Diese Schwachstellen ermöglichen Angreifern beliebigen Code mit SYSTEM-Rechten auszuführen. Durch ein ungewollt veröffentlichtes Proof of Concept (PoC) gab es bereits erste Angriffe auf die Schwachstelle.
Ich hatte frühzeitig im Blog-Beitrag PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko über die Schwachstelle berichtet. Zum 6. und 7. Juli 2021 hat Microsoft dann auch außerplanmäßige Updates für die unterstützten Windows-Versionen freigegeben (siehe Artikellinks am Beitragsende). Allerdings gab es bei den Updates für die diversen Windows-Versionen gleich mehrere Probleme. Einmal gab es Hinweise, dass der Patch wirkungslos sei, weil sich die Fixes umgehen ließen. Zudem traten Kollateralschäden bei der Update-Installation auf, die ich im Blog-Beitrag Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021) thematisiert habe. Das Problem mit manchen Etikettendruckern wurden dann für Windows 10 Version 2004 und höher von Microsoft gefixt (siehe Windows 10: Microsoft fixt Zebra-/Dymo-Druckproblem KB5004945 per KIR).
Microsoft äußert sich zur Sicherheit
Auf Grund der Diskussionen, dass die Updates die Schwachstellen im Windows Print-Spooler-Dienst nicht vollständig schließen würden, hat Microsoft sich dann am 8. Juli 2021 in einem separaten Blog-Beitrag geäußert. Nachfolgender Tweet weist auf diesen Artikel hin.
Anzeige
Microsoft bezieht sich explizit auf die Diskussionen nach dem Out-of-Band (OOB) Updates zum Schließen der Schwachstellen und geht auf den Verdacht ein, dass die Updates weiterhin Schwachstellen offen lassen. Dazu schreibt Microsoft, dass alle Untersuchungen gezeigt aben, dass das OOB-Sicherheitsupdate wie vorgesehen funktioniert. Es ist gegen die bekannten Drucker-Spooling-Exploits und andere öffentliche Berichte, die unter dem Namen PrintNightmare zusammengefasst werden, wirksam.
Alle Berichte, die die Wirksamkeit in Frage stellen, und die Microsoft untersucht hat, beruhten auf der Änderung der Standardregistrierungseinstellung in Bezug auf Point and Print, die dann zu einer unsicheren Konfiguration des Systems führen. Im Artikel führt Microsoft aus, dass die Patches keinerlei Änderungen an den Registrierungseinstellungen von Point and Print veranlassen. Administratoren sollen daher die folgenden Registrierungseinstellungen überprüfen. Im Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
müssen die 32-Bit-DWORD-Werte NoWarningNoElevationOnInstall = 0 und UpdatePromptSettings = 0 gesetzt sein, um den sicheren Standardbetrieb zu gewährleisten. Dem ist gleich, wenn der Schlüssel oder die DWORD-Werte fehlen. Sind die Werte vorhanden und nicht auf 0 gesetzt, wurde die Standardkonfigurierung geändert und das System ist unsicher. Dieser heise-Artikel greift das Thema ebenfalls auf und hält einige Erläuterungen bereit.
Ergänzung: Nach dem Patch ist vor dem Patch. Zum 15. Juli 2021 ist eine neue Schwachstelle öffentlich geworden, siehe Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)
Ähnliche Artikel:
Patchday: Windows 10-Updates (8. Juni 2021)
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Windows 10: Microsoft fixt Zebra-/Dymo-Druckproblem KB5004945 per KIR
Anzeige
Sicher nur gegen «bekannte Exploits». Das ist doch ein Armutszeugnis. Problem ist also alles andere als behoben, es ist nur ein Workaround und neue Exploits wird es sowieso geben.
was genau ist daran 'Armutszeugnis'?
MS bezieht klar Stellung: Patch + STANDARD-Einstellungen = sicher. Mehr geht eig. nicht – weil, für nicht-Standard (= Gefrickel, neudeutsch oder etwas böser formuliert) ist Fa. MS nunmal nicht verantwortlich, da können die auch wenig dran machen!
Sollte auch dem simpelsten klar sein/werden! Und den Schuldigen da suchen, wo er auftritt – nicht immer ist das in Redmond (unabhängig, dass es dem Klischee sowie dem "guten (oft komischen) Ton" hier entspräche)…
MS bietet die Möglichkeit, dieses "Gefrickel" zu aktivieren, selber per Gruppenrichtlinien an. "Standard" bezieht sich hier auf den Auslieferungszustand, aber solange MS eine offizielle Möglichkeot bereitstellt ,anderebEinstellungen zu setzen, sollten sie auch alle diese Szenarien mit ihren Patchen berücksichtigen.
Nach dieser Definition wäre das Abschalten eines Systemdienstes auch schon kein Standard mehr. Ich erwarte aber vom Anbieter des Weltweit meistgenutzten Desktop-OS, dass solche Senarien berücksichtegt werden, und man sich nicht auf Systemstandards beruft.
Auch Linux bietet die Möglichkeit an, dass sich ein Benutzer ohne Passwort anmelden kann. Ist zwar kein Standard, aber ist unsicher!
"alle möglichen Szenarien" sind untestbar. Das verbietet schon die reine Anzahl.
Nehmen wir an, ein System habe 10 binäre, voneinander unabhängige, Optionen (an/aus), also keine Freitexte, kein tri-State, nichts besonderes also. Auch kein "wenn X dann ist Y egal".
Dann müsstest Du 10! = 3628800 Varianten testen bzw. berücksichtigen. Und das steigt extremst mit jeder weiteren Option.
Windows hat – auch allein im Druckbereich – etwas mehr als zehn Optionen…
Im Übrigen ist "sicher im Auslieferungszustand" kein ungewöhlicher Maßstab. OpenBSD wirbt beispielsweise mit "Only two remote holes in the default install, in a heck of a long time!" auf der Homepage.
MS bietet die Möglichkeit, dieses "Gefrickel" zu aktivieren, selber per Gruppenrichtlinien an. "Standard" bezieht sich hier auf den Auslieferungszustand, aber solange MS eine offizielle Möglichkeit bereitstellt ,andere Einstellungen zu setzen, sollten sie auch alle diese Szenarien mit ihren Patchen berücksichtigen.
Nach dieser Definition wäre das Abschalten eines Systemdienstes oder eine kleine Änderung in der Registry auch schon kein Standard mehr. Ich erwarte aber vom Anbieter des weltweit meistgenutzten Desktop-OS, dass solche Szenarien berücksichtigt werden, und man sich nicht auf Systemstandards beruft.
Erstens ist es schonmal völlig absurd, daß der Fix nicht mit Windows Update kommt. Jetzt sollen die Admins auch noch alle Blogs lesen und manuell Programme installieren? Weltweit betrachtet wird auf den meisten Servern also rein gar nichts gelöst.
Zweitens sagen sie, es helfe gegen «alle bekannten Exploits». Die Wortwahl ist entscheidend. Die hat sich die juristische Abteilung ganz genau so ausgedacht. Das bedeutet eben, daß die das Problem an sich nicht behoben haben, sondern nur Workarounds gegen die öffentlich gewordenen Exloits gebastelt haben.
Drittens ist es völlig absurd, zu erwarten, das irgendein Admin bei diesen Registry Keys noch durchblickt. Auch da sind die Nebenwirkungen auf andere Dinge überhaupt nicht abzuschätzen. Das setzt dem Ganzen noch die Krone auf.
Fazit: Microsoft hat eine Alibi-Lösung, die aber gar nichts löst, sondern einfach nur den schwarzen Peter jetzt an die Admins schiebt. Aber so kennt man Microsoft.
Einfach irgendwo bei Windows oder Office einen Dialog für den User anzeigen über etwas, das er gar nicht entscheiden kann, und auf einmal gilt das Programm nicht mehr als unsicher, sondern der Benutzer ist schuld.
"Drittens ist es völlig absurd, zu erwarten, das irgendein Admin bei diesen Registry Keys noch durchblickt. Auch da sind die Nebenwirkungen auf andere Dinge überhaupt nicht abzuschätzen. Das setzt dem Ganzen noch die Krone auf."
Das ist wirklich ein Problem. Es gibt hunderte, tausende Einstellungen via ADMX und dann noch Möglichkeiten mit dem Setzen von Reg.schlüsseln.
Das ist einfach irre. Wenn man kein wirklich gut strukturiertes System an GPOs hat, dann blickt man einfach nicht mehr durch. Und hat man auch nur einmal in einer Doku geschlampt findet man den "temporären Fix" nicht mehr oder fragt sich irgendwann was man (!) da gemacht hat. Das bedingt, dass man selbst die Einstellungen gesetzt hat und der Kollege/Vorgänger.
Man könnte jetzt sagen, "einfach eine neue GPO" aber das verlangsamt irgendwann die Vorgänge auch enorm.
rsop.msc ist dein Freund, wenn du nicht mehjr weißt, aus welcher Richtlinie welche Einstellung kommt.
Und ja, eine gewisse Systematik (Thema, Namen) sollte man schon in seinen Richtlinien haben, damit man auch nach Jahren noch durchblickt.
wenn die Option "Installation beliebiger Treiber für jeden Benutzer ohne Admin-Passwort erlauben" heißt, dann sollte dem, der sie setzt, schon klar sein, dass es nicht völlig ausgeschlossen ist, dass die Option potentiell ein kleines bisschen unsicher sein *könnte*…
Es gibt Anwendungszwecke, in denen das benötigt wird. Hier hat dann aber eine Sicherheitsabwägung stattzufinden.
Hallo,
eine Frage, wenn die beiden Werte in der Konfiguration/Registry wie vorgeschlagen nicht auf 0 sondern auf 1 stehen, aber zusätzlich ein 32-Bit-DWORD-Wert "Restricted = 1" gesetzt ist gilt das auch als sicher?
Zusätzlich natürlich den REG_SZ Eintrag mit der "ServerList" und hier nur der Printserver eingetragen ist, oder gilt das hier nicht?
Grüße
Steven
Wenn du da eine 1 drin hast, ist es nicht sicher.
Sind sie sich da sicher?
Finds dazu nix in der Doku, die 1 restricted gilt doch dann nur für die definierte ServerList?
Grüße Steven
Genau dieses Regkeys hat MS nach der Installation von ms16-087 für non-package-aware v3 selber beschrieben damit Benutzer ohne Adminrechte vom Druckserver installieren bzw. per GPO zur Installation zugewiesen können…
Witzig und leider vollkommen am Problem vorbei.
Wenn ich weiß nach was ich suchen muss, dann habe ich das schnell geändert. Zumal ich über den DC auf jedem Computer die GPOs einfach auswerten kann…
Meistens ist das Problem doch vice versa:
Ich habe ein Problem, welches durch Changes iVm einer oder mehreren Richtlinien auftritt-> Aufgabe, die richtigen Objekte finden & ggf. deaktivieren.
Ich habe eine oder mehreren Richtlinien für ein Problem gesetzt, welches sich erledigt hat -> Aufgabe, sie richtigen finden und rausnehmen.
Dabei gibt es natürlich Richtlinien, die man nicht einfach deaktivieren kann, weil die Reg. Einstellungen nicht zurückgenommen werden, sondern man muss sie explizit DEAKTIVIEREN oder Reg del setzen. Was auch wieder ein GPO ist was angewendet werden muss…usw
Seit dem Notfallpatch trat auf meinem Windows 10 Pro-Rechner bislang drei Mal ein Blue Screen, BSOD, auf. Zwei Mal beim Hochfahren, einmal bei einer Google-Suchanfrage in Chrome. Weitere Auffälligkeiten gibt es nicht, alles funktioniert sonst wie es soll, Virenscanner finden nichts.
Gibt es dieses Phänomen auch bei anderen Nutzern?
Wegen spezieller Software bin ich leider auf Windows angewiesen. Privat verwende ich Linux mint.
Spricht etwas dagegen, dass sich alle Kunden in einer Sammelklage, nach amerikanischen Recht zusammenschließen und einfach einmal Zeigen, dass es um technische Probleme geht, die Microsoft mit Privatnutzungsvereinbarungen zu bekämpfen versucht?
Ich kann und darf nämlich rein aus logischer Sicht nicht alle Nutzungsmöglichkeiten ausschließen! Wenn ich etwas nicht will, dann muss ich das umsetzen. Zuzusehen, wie jemand mit einer Waffe ermordet wird und dann sagen dass die Waffe dafür nicht erschaffen ist, ist meines Erachtens zumindest grob Fahrlässig, mit dem Hinweis, dass man etwas geschaffen hat um zu töten!
Nun könnte man diesen Funktionsgrundsatz hernehmen und sagen, das wurde sogar dafür gemacht! Dann spricht man von Vorsatz!
Nur weil man jemanden aus der Notwendigkeit drucken zu müssen dazu zu etwas zwingt etwas zu benutzen, dass man selbst als nicht gut empfindet, sollte man in diesem Kontext durchaus rechtlich bewerten lassen!
schon verloren!
kannst ja Linux oder ein anderes OS nehmen, zwingt Dich ja keiner dieses eine zu installieren… ;-)
Nachtrag:
wenn die Politik ein bestimmtes Programm vorschreibt und dieses nur auf einem OS läuft, sollte da man nicht an der Politik ansetzen bzw. diese zur Verantwortung ziehen?
Wäre ja auch mal ein Gedanke! ;-)
Verstehe ich hier etwas falsch? Laut KB5005010 wird doch durch das Update nur die Installation von Treibern für Nicht-Administratoren unterbunden; Drucken ist weiterhin möglich, Installation von neuen Treibern eben nur für Admins, das passt doch, anders sollte es ohnehin nicht sein.
Daher hinkt auch der Vergleich mit der Waffe ganz gewaltig.
Wenn dein Kleinkind winzige Lego-Teile verschluckt, nur weil du der Meinung bist, dass jedes Kind dieser Welt mit Lego spielen dürfen sollte, kannst du auch nicht hinterher Lego verklagen, weil sie ihre Produkte nicht kindgerecht angepasst haben. Der Hinweis "Nicht für Kleinkinder geeignet, kann verschluckbare Kleinteile enthalten" sollte genügen – und MS hält es damit ganz genauso. Wieso sollten sie testen und verhindern, wie sich dein Kleinkind verhält?
Das Schlimme ist das wir wegen der von uns verwendeten Softwareverteilung bzw. Benutzermanagmentlösung genau diese Registrierungseinstellung seit Windows 7 von 0 auf 1 gesetzt haben, damit bei der Anmeldung vom User die zugewiesenen Drucker ohne Abfrage der Adminrechte automatisch installiert werden.
Wenn wir den Wert wie von Microsoft gefordert umstellen, haben hunderte User keine Drucker mehr zugewiesen. Vielen Dank. Das kann doch nicht die Lösung sein?
Seit Win7 -Zeiten hat sich ja einiges getan.
Ich würde mal prüfen, ob es nicht Universal-Treiber für alle Drucker gibt. Dann braucht man nur noch einen Treiber und muss nicht jedesmal installieren.
Alternativ kann man natürlich auch die Benutzermanagement"lösung" "schlagen", wenn diese so etwas erzwingt…
Microsoft ist ja auch nicht schuld, wenn dein Programm erzwingen würde, dass alle Mitarbeiter mit lokalen Adminrechten ohne UAC laufen.
Hi @simsoo,
wir haben exakt das gleiche "problem", dass wir die Point and Print Sache für die reibungslose Softwareverteilung brauchen. Nicht auszumalen wie viele Calls das bringen würde, wenn bei jedem Drucker der Dialog aufpoppt…
Allerdings verstehe ich den Microsoft Artikel so, dass es hier um die Reg Werte auf den Servern selbst geht, oder? Ich meine folgenden wortlaut:
No, the fixes for CVE-2021-34527 do not directly affect the default Point and Print driver installation scenario for a client device that is connecting to and installing a print driver for a shared network printer. In this case, a client device connects to a print server and downloads and installs the drivers from that trusted server. This scenario is different from the vulnerable scenario where an attacker is trying to install a malicious driver on the print server itself, either locally or remotely.
1.
Bei mir ist der Chromium 91.0.4472.124 (unggogled) seit dem Win7-Update KB5004951 schon mehrfach abgestürzt.
Vorher lief er normal.
2.
Win7 hat nach dem Update auf Sandboxie Classic 5.50.7 einen Neustart durchgeführt, obwohl das vorher immer auch ohne Neustart ging und der Installer auch nichts von einem Neustart meldete, sondern nur ganz normal den "Fertig"-Button zeigte.
Kann es da einen Zusammenhang zu KB5004951 geben?
3.
Außerdem hatte ich keinen Standard-Drucker mehr, weil ich die Druckerwarteschlange auf deaktiviert und dann auf Automatik eingestellt hatte.
Die Druckerwarteschlange muss wirklich gestartet sein, damit das blöde Windoof überhaupt noch irgend einen Drucker finden kann.
Dabei ist zum Drucken so eine Drcukerwarteschlange im Prinzip gar nicht notwendig, weil man die Druckaufträge auch direkt zum Drucker schicken kann.
Habe gestern auf unserem Exchange 2013 die Updates installiert, heute habe ich bemerkt, dass keiner der Clients sich mit Outllok gegen den Exchange verbinden kann.
Folgende Fehler waren in der Ereignisanzeige zu sehen:
Fehler 2214 und 2268
Die HTTP-Filter-DLL D:ExchangeClientAccessowaauthowaauth.dll konnte nicht geladen werden. Die Daten enthalten Fehlerinformationen.
Es konnten nicht alle ISAPI-Filter für die Site "EXCHANGE BACK END" geladen werden. Der Start der Site wird daher abgebrochen.
Abhilfe konnte ich vorerst durch einen uralt Post von 2009 schaffen:
Deinstallieren der Updates hat leider nichts gebracht.
Boah bin ich froh, dass auf meinen Privatrechnern immer noch natives W7 fehlerfrei läuft – und das wird auch so bleiben, bis die Hardware das Zeitliche segnet! 😝