Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)

Windows[English]Schlechte Nachrichten für Windows-Nutzer, denn die als PrintNightmare bekannte Problematik, das Schwachstellen im Print-Spooler-Dienst zur Rechteausweitung führen können, besteht weiterhin. Die Sonderupdates vom 6. und 7. Juli sowie die regulären Sicherheitsupdates vom 13.7.2021 lassen weitere Schwachstellen offen. Auf Twitter hat jemand demonstriert, wie er auf einem voll gepatchten System Drucker als Standardnutzer installieren kann. Und Microsoft hat in der Früh einen neuen Sicherheitshinweis veröffentlicht. Ergänzung: Neue Variante funktioniert von allen Computer …


Anzeige

Rückblick auf PrintNightmare

Im Windows Print-Spooler-Dienst gab und gibt es diverse Schwachstellen, die mit den regulären Juni 2021-Sicherheitsupdates (siehe z.B. Patchday: Windows 10-Updates (8. Juni 2021)) sowie Sonderupdates vom 6. und 7. Juli sowie mit dem regulären Patchday zum 13. Juli geschlossen werden sollten (siehe Links am Artikelende).

Diese Schwachstellen ermöglichen Angreifern beliebigen Code mit SYSTEM-Rechten auszuführen (es muss nur ein Druckertreiber installiert werden). Einige Schwachstellen(CVE-2021-1675) im Windows Print-Spooler-Dienst ermöglichen eine Remote Code Execution (RCE). Ich hatte frühzeitig im Blog-Beitrag PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko über die Schwachstelle berichtet.

Inzwischen ist im Rückblick klar, dass Microsoft es nicht geschafft hat, die Schwachstellen in diesem Bereich durch die Updates wirksam zu beseitigen. Kaum ist ein Patch vorhanden, weisen Sicherheitsforscher nach,  Ende Juni 2021 stellte sich aber heraus, dass die Sicherheitsupdates vom 8. Juni 2021 nicht wirklich wirkten.

Zudem traten Kollateralschäden bei der Update-Installation auf, die ich im Blog-Beitrag Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021) thematisiert habe. Das Problem mit manchen Etikettendruckern wurden dann für Windows 10 Version 2004 und höher von Microsoft gefixt (siehe Windows 10: Microsoft fixt Zebra-/Dymo-Druckproblem KB5004945 per KIR). Erst mit dem regulären Patchday vom 13.7.2021 scheinen einige Probleme wie mit Zebra-Etikettendruckern beseitig.


Anzeige

Neue Schwachstellen-Demonstration

Benjamin Delpy, u.a. der mimikatz-Entwickler, hat gestern auf Twitter ein Video über folgenden Tweet gepostet, das zeigt, wie er auf einem voll gepatchten System einen Druckertreiber als Standardnutzer installieren kann.

Benjamin Delpy on new PrintNightmare demo

Der Ansatz klappt mit der Standardkonfiguration (oder mit der über die Microsoft-Einstellungen angeblich erzwungener Sicherheit). Ein Standardbenutzer kann Treiber installieren, die dann als SYSTEM laufen, was eine lokale Privilegieneskalation (LPE) bedeutet.

Ich bin die Nacht erstmals bei den Kollegen von Bleeping Computer darauf gestoßen. Die Kollegen haben noch einige Informationen von Benjamin Deply zusammen getragen, wie die Schwachstelle ausgenutzt werden kann. So zählt der oben benutzte Ansatz streng genommen nicht zu den ursprünglich als PrintNightmare bezeichneten Schwachstellen und Methoden, nutzt aber ähnliche Ansätze. Ein Angreifer muss sich ein digital signiertes Druckertreiberpaket erstellen und es irgendwie schaffen, den Installer unter einem Standardbenutzerkonto ausführen zu lassen. Sobald das bösartige Paket installiert ist, hat es SYSTEM-Rechte und können sich im Netzwerk mit diesen Rechten auf andere Maschinen verbreiten.

Microsoft empfiehlt (wie bereits Anfang Juli) den Print-Spooler still zu legen. Im Thread auf Twitter schreibt jemand, dass die Modifikation der ACL-Zugriffsberechtigungen im Printer-Spooler-Ordner system32 hilft. Es muss so eingestellt werden, dass nur Domain-Administratoren Drucker installieren dürfen. Der Punkt ist in den Benutzerkommentaren zum Blog-Beitrag PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko thematisiert.

Wer mit GPOs experimentiert, sollte sich ggf. den Thread Nach erster Reaktion gegen Print Nightmare keine GPO basierten Druckermappings mehr möglich auf administrator.de durchlesen. Und falls jemand mit Zugriffsberechtigungen jongliert, später aber in Probleme läuft, das nach einem Patch zurückzudrehen, findet bei administrator.de den Beitrag Keine Druckerinstallation nach deaktivieren der PrintNightmare Maßnahmen. Ist mir die Tage unter die Augen gekommen – daher zur Vorsicht mal hier verlinkt, falls jemand in diese Falle tappt.

Ergänzung: Benjamin Delpy hat eine neue Variante seines Exploits erstellt, die er in Episode 4.1 vorstellt. Die neue Variante funktioniert von allen Computern  – auch auf Windows 11 mit VBS-Security und TPM 2.0 …

PrintNightmare 4.1

Ups, wie das, soll das doch alles viel sicherer sein? Ok, war jetzt unfaire Dialektik, denn Windows 11 ist ja noch nicht ganz fertig, die arbeiten bei Microsoft noch an der Sicherheit. Rom ist ja auch nicht an einem Tag untergegangen, der Niedergang begann schleichend.

Microsofts Sicherheitswarnung

Die Nacht zum 15.7.2021 hat Microsoft dann die nachfolgenden Sicherheitswarnungen veröffentlicht und per Mail rundgeschickt. Zudem bin ich auf Twitter über diesen Tweet vom 16. Juli 2021 gestolpert, der auf die Schwachstelle CVE-2021-34481 hinweist.

************************************************************************
Title: Microsoft Security Update Revisions
Issued: July 15, 2021
************************************************************************

Summary
=======

The following CVEs have been published to the Security Update Guide or have
undergone informational revisions.

========================================================================

* CVE-2021-34481

CVE-2021-33481 | Windows Print Spooler Elevation of Privilege Vulnerability
– Version: 1.0
– Reason for Revision: Information published.
– Originally posted: July 15, 2021
– Updated: N/A
– Aggregate CVE Severity Rating: N/A

* CVE-2021-34527

CVE-2021-34527 | Windows Print Spooler Remote Code Execution Vulnerability
– Version: 3.2
– Reason for Revision: Added FAQ information. This is an informational change only.
– Originally posted: July 8, 2021
– Updated: July 15, 2021
– Aggregate CVE Severity Rating: Critical

* CVE-2021-33781

CVE-2021-33781 | Azure AD Security Feature Bypass Vulnerability
– Version: 1.1
– Reason for Revision: Corrected CVE title. This is an informational change only.
– Originally posted: July 13, 2021
– Updated: July 14, 2021
– Aggregate CVE Severity Rating: Important

Zwei der drei Sicherheitswarnungen beziehen sich auf Schwachstellen im Windows Print Spooler. CVE-2021-34481 wird laut Microsoft aktuell untersucht. Die obigen Hinweise sind als "informal changes" klassifiziert, d.h. Microsoft hat die Dokumentation bezüglich der Schwachstellen angepasst, Updates stehen nicht zur Verfügung.

Ähnliche Artikel:
Patchday: Windows 10-Updates (8. Juni 2021)
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Windows 10: Microsoft fixt Zebra-/Dymo-Druckproblem KB5004945 per KIR
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher
Patchday: Windows 10-Updates (13. Juli 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (13. Juli 2021)
Patchday: Windows 8.1/Server 2012-Updates (13. Juli 2021)
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher
Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien
Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
Windows PrintNightmare, neue Runde mit CVE-2021-36958
Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server
Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle für Angriffe


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows veröffentlicht. Setze ein Lesezeichen auf den Permalink.

26 Antworten zu Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)

  1. Georg sagt:

    Super, wir stehen weiter im Regen.
    Danke Redmond.
    Vielleicht ein zwei hundert Entwickler von O365 abziehen und ab an die Arbeit. Hafnium konnte man wenigstens eingrenzen. Aber das?

  2. 1ST1 sagt:

    Demnach wird es am 7. August auf der Defcon nochmal richtig krachen, und dann bete, dass am Patchday 11/12 August – oder schon vorher – (Notfall-) Updates kommen. Wenn ich "However, Baines did share with BleepingComputer that it is printer driver-related." richtig verstehe, werden dann auch einige Druckertreiber erneuert werden müssen. Das wird ein Spaß.

    Übrigens tut sich gerade auch bei Chrome und Edge was, Zero-Day, die sind jetzt auf Version 91.0.4472.164 und 91.0.864.70. Auch für den Internet Exploder wurde ein Zero-Day gefunden.
    https://thehackernews.com/2021/07/google-details-ios-chrome-ie-zero-day.html
    https://thehackernews.com/2021/07/update-your-chrome-browser-to-patch-new.html
    Für Edge sind die Release-Notes noch auf der .67, aber .70 wird schon verteilt.

    • Stephan sagt:

      Daß man im Jahr des Herrn 2021 noch Treiber vom Hersteller im System laufen lassen muß, um zu drucken — das ist der eigentliche Witz. Die Drucker sollen gefälligst über standardisierte Schnittstellen PDFs annehmen und gut ist.

      • 1ST1 sagt:

        Gute Idee, nennt sich Postscript.

      • Thomas sagt:

        Mit PDFs Schächte steuern, Sortierer ansprechen, heften und vertrauliche Drucke nur mit Tag oder Pin ausgeben, das möchte ich sehen. Das sind nur ein paar wenige "Features" die PDF dann "können" müsste *kalt den Rücken runterlauf*.

        • Thomas sagt:

          Moin Moin
          In der Kyo Welt kann vieles davon gemacht werden.
          Seit ca 20 Jahren.
          Nennt sich PREscribe dort.
          ABER
          Natürlich ist der PIN nicht verschlüsselt
          Natürlich muss "Ich" die Einstellungen alle händisch abändern im Code (!)
          Und der ist nicht Batch oder PowerShell.

          Gehen tut es.
          Und viel mehr wie automatisch auf den Rückseiten die AGBs drucken lassen.

          Man kann auch eine Single-Layer PDF (Hat nichts mit 1 seitig oder Simplex zu tun. Sondern mit mehreren Layern ähnlich wie bei Photoshop. CAD Programme lassen grüßen.)
          einfach per CMD und FTP auf einem verfügbaren Druckgeräte ausdrucken lassen.
          Für manche Szenarien ideal.

          Aber nicht für den Standard im KMU wo die Sekretär:in eine Mail hat die sie 2mal Duplex ausgedruckt haben will…
          Es geht wenn Sie dies einstellt beim MS PDF Drucker und die PDF übermittelt an den Drucker.
          Aber die meisten Chefs wollen sich nicht auf den Streß mit der Sekretär:in einlassen :-p

          • Tina sagt:

            Hallo Thomas, heute ist es wohl doch eher so, dass sich die Sekretärin super auskennt, nur der Chef nicht, der ist ja nicht Chef geworden, weil er sich super mit dem Drucker auskennt :P

  3. Lukas sagt:

    Wurde nicht genau für sowas die Treibersignierung ins Leben gerufen und erzwungen? Oder verstehe ich was falsch?

  4. Andi sagt:

    Moin,
    eigentlich sollte doch dann dieser RegKey helfen:
    "RestrictDriverInstallationToAdministrators"
    unter:
    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint
    mit Value 1

    Warum überhaupt von Usern Treiber auf einem Printserver installiert werden können, erschließt sich mir nicht. Das ist doch irre! Auf einem Server hat ein User eh nichts verloren.
    Zum Glück läuft der Cups Server ganz gut.

    • Alfred Neumann sagt:

      Wollte eben schon fragen, ob man dieses Theater mit einem CUPS Server umgehen kann?

      • 1ST1 sagt:

        Kann der CUPS-Server den Windows-Clients denn den benötigten Druckertreiber zur Verfügung stellen, oder muss man das dann auf ein paar Tausend PCs in der Domäne händisch machen?

        Kann man Drucker, die an einem CUPS-Druckserver freigegeben sind, per Gruppenrichtlinien bestimmten Benutzern, Standorten, … zuweisen (Item-Level-Targeting) ?

        Kann man den CUPS-gespoolten Druckern auch Benutzergruppen zuweisen, so dass nur die CAD-Abteilung auf dem A0-Plotter drucken darf, und nur die Marketingabteilung (jeweils AD-Gruppe) auf den Fotofähigen A3-Drucker?

        Das ist alles gängige Praxis, und wenn das nicht geht, dann ist CUPS keine Alternative.

        • Karsten Tönniges sagt:

          Hallo 1ST1,

          Das sind AD-Gruppen-Richtlinien, die Sie hier auflisten.
          Die greifen unabhängig vom Druckserver, weil die am Windows-Client wirken, wenn der Client die auch tatsächlich anwendet (Windows 10 Pro ignoriert ja die ein oder andere mittlerweile).

          Mit freundlichen Grüßen
          Karsten Tönniges

        • Lukas sagt:

          Vorweg: Ich setze CUPS nur privat ein, nicht im geschäftlichen Umfeld.
          All deine Fragen kann man denke mit Ja beantworten. Das zuweisen geht 1:1 so wie mit einem MS Druckserver. Also mit \\Hostname\Freigabename.

          Auch für erlaube Benutzer gibt es eine Black- und Whitelist. Ob man AD Benutzergruppen verwenden kann, kann ich dir nicht sagen, kann man aber bestimmt einrichten.

          • 1ST1 sagt:

            Wenn das inzwischen so schick klappt, ist das ja gut. Hilft nur leider nicht, denn um diese Druckerfreigabe zu verwenden, …

            … muss an dem lokalen PC der Printspooler laufen. Sobald ihr es schafft, auf beliebigen Windows-Systemen den kompletten Printspooler durch Cups zu ersetzen, reden wir weiter!

      • Andi sagt:

        Kommt halt drauf an. Wenn du AX oder spezielle ERP Systeme hast, die den Spooler nutzen, wird es schwer.
        Ich habe alle MFCs über Cups angebunden und das funktioniert nach ein paar Startschwierigkeiten ganz gut. Wir mussten alle Drucker komplett stromlos machen, damit die IPP Einstellungen gefressen wurden.
        Als Treiber kannst du zumindest bei Konica Minolta und Canon PPD Dateien für Cups runterladen und damit den Drucker einbinden. Falls es nicht für Linux angeboten wird, einfach die MacOS Version nehmen. Von Windows aus spricht du den Drucker dann mit http://cups-server:631/printers/Name_des_Druckers_in_Cups an.

        Antwort war für Alfred bestimmt, nicht für den Fanboy über mir.

        • Alfred Neumann sagt:

          Danke Dir!
          Da ich schon länger mit dem Gedanken spiele, die Server auf Linux zu portieren, hatte ich darauf geachtet das es PPDs für die Drucker gibt. Sollte also funktionieren.

          Werde mal einen Testrechner umbauen…

          • Andi sagt:

            In Cups musst du den Drucker mit "IPP" einbinden und bei Verbindung trägst du dann so ein:
            ipp://IP.des.Druckers/ipp

            Auf Terminalservern ist das nicht so einfach, da muss zusätzlich das Feature "Internet Printing Client" installiert werden, dass auch gleich noch ISS und anderen Schrott mitbringt.

          • 1ST1 sagt:

            Kannst du mir das genau erklären? Ich kapier das nicht und bin auch nicht bereit, mich einzulesen. Kann leider nur Windows und selbst das nicht besonders gut.

        • Thomas sagt:

          Hmm
          Kleine Frage.

          Ich kenne CUPS nur SEHR grob.
          Ich weiß aber das es für manche Fälle, zB Airprint in einem gerouteten Umfeld, auf einem RasPy DER Workaround ist :-p

          Aber wenn Ich 1-Layer-PDF erzeuge die viele Business Drucker/MFP ausdrucken können nativ, Ich weiß es von der Kyo Welt und Ricoh,
          und die dem Cups Server zukommen lasse, zB via FTP, direkt auf die Queue,
          kann die CUPS dann weiterleiten?

          Dann wäre zwar dieser CUPS Server komprimitier fähig.
          Aber wenn das zB ein kleiner RasPi ist und Ich vor dem zur Verfüg stellen ein Image erzeuge das Ich täglich morgens neu auf die SD Karte spiele,
          dann ist diese Lücke kleiner.

          Aber
          Ist das möglich?

          Danke für Kommentare

    • Lukas sagt:

      Das hat MS wohl schon mit dem Juli Update erzwungen. Siehe: KB5005010

      • Andi sagt:

        Moin,
        das ist leider nicht korrekt. Das muss man manuell setzen:

        4. [Optional] Override Point and Print Restrictions so that only administrators can install print drivers on printer servers

        You have the option to override all Point and Print Restrictions Group Policy settings and ensure that only administrators can install printer drivers on a print server by configuringthe RestrictDriverInstallationToAdministrators registry value to 1.

        To restrict the installation of new printer drivers, manually set the RestrictDriverInstallationToAdministrators registry value as follows:

        Note There is no Group Policy setting for this restriction.

  5. Stephan sagt:

    War eigentlich aus der Formulierung, daß der Patch eben nur «gegen alle bekannten Exploits» hilft, ersichtlich. Aber wer das herausgestellt hat, wurde angegriffen.

    https://www.borncity.com/blog/2021/07/10/microsoft-zur-printnightmare-schwachstelle-cve-2021-34527-windows-ist-nach-patch-sicher/

  6. Bernd P sagt:

    Auf Windows-Rechnern die einer Domäne angehören und wo folglich Richtlinien gelten: Sobald das der Fall ist :
    Der Spoolerdienst hat nur eingeschränkte Rechte und druckt. sonst nix. Man muss das Konzept aufteilen in zwei Instanzen.

    1) Der spoolerdienst läuft bitte künftig nicht mehr mit Systemrechten, sondern im
    Benutzer (oder authuser-attribut).
    2) Der spoolerdienst installiert bitte künftig keine Treiber mehr selbst (weder mit system- sondern mit irgendwelchen anderen erhöhten Rechten) sondern das macht
    ein vom Domainadmin delegierter "spooldriverinstaller-Dienst". Der sich a) die Treiber aus einem spezifizierten Verzeichnis holt (sobald der Rechner einer Domäne angehört, ist dieses durch den DA festgelegt)
    b) "Point and print" greift – auf Domänenrechnern – bitte NUR noch auf das vom DA spezifizierte Verzeichnis zu (nur da drauf, nirgendwo sonsthin, er kennt auch keine andere Adresse als diejenige die im System festgelegt ist, die wird aus der GPO bezogen, kann auch nicht mit der Anforderung oder kommandozeilenparametern woandershin spezifierert werden bitte) und requested die eigentliche Installation dann vom delegierten (DA-konfigurierten) "Spooldriverinstallerdienst". Der installiert die angeforderten Druckertreiber bitte dann resp. bindet die Druckerinstanzen lt der GPO in die Nutzerinstanz ein. So würd ich mir das vorstellen. Der spooler "spoolt" nur noch, nix sonst. Jegliche Installation macht ein davon abgesetzter (und richtlinien-gerichteter) Dienst. Nur das wäre dann wohl hinreichend sicher.

  7. Marten Burow sagt:

    Da es immer noch um die Installation von Treibern geht, sollte der workaround doch immer noch gut klappen, per Administrator Powershell dem Spooler Ordner die schreibrechte sämtlicher User zu entziehen, oder?

  8. David Scherer sagt:

    Hallo Leute,

    ich versuche mich gerade im Chaos zu orientieren und hätte gerne einmal für mich und sicher auch viele andere Administratoren erfasst, ob und welche Maßnahmen gegen die aktuelle CVE-2021-36958 helfen, oder zumindest die Gefahr etwas abmildern.

    1. Was ich jetzt schon öfter gelesen habe ist dass die Point and Print Restriktionen per GPO gesetzt werden können und somit der Zugriff nurnoch auf einen bestimmten Printserver zulässig ist. Bekannt schon durch Printnighmare V1, Hilfreich bei CVE-2021-36958?

    2. Zugriff auf SMB Shares mittels Firewall an der Netzwerkgrenze unterbinden.

    3. Per Powershell dem Spoolerordner die Schreibrechte für User entziehen.

    Alles 3 sind Maßnahmen die ich hier bei mir schon im Juli umgesetzt habe, wo ich allerdings im Moment nirgends eine Aussage gefunden habe ob diese gegen die aktuelle CVE wirksam sind.

    Viele Grüße,

    David Scherer

    • Günter Born sagt:

      Bin nicht so im GPO-Thema – aber in 1. Näherung würde ich sagen, dass deine Maßnahmen die Systeme schon schützen. Vielleicht antwortet noch jemand aus dem Administratorbereich, wenn es andere Insights gibt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.