[English]Noch ein kleiner Nachtrag vom August 2021-Patchday in Bezug auf die Print-Spooler-Dienst-Schwachstelle PrintNightmare. Microsoft hat zwar einen Patch herausgebracht, der die Schwachstelle beseitigen soll. Aber ich hatte bereits in meinen Blog-Beiträgen zum Patchday darauf hingewiesen, dass dieser Patch nicht ausreicht. Nun hat Microsoft zum 11.8.2021 eine neue CVE-2021-36958 (Windows Print Spooler Remote Code Execution Vulnerability) festgelegt.
Anzeige
Die Windows PrintNightmare-Schwachstelle
Seit Juli 2021 ist eine Schwachstelle im WindowsPrint-Spooler-Dienst bekannt, die eine Remote Code Execution (RCE) sowie u.U. eine Rechteauswertung ermöglicht. Microsoft versucht seit Anfang Juli 2021 diese, inzwischen mit dem Namen PrintNightmare benannte, Schwachstelle durch Updates zu beseitigen (siehe Linkliste am Artikelende). Aber nach jedem Patch weisen Sicherheitsforscher nach, dass die PrintNightmare-Schwachstelle unvollständig gepatcht wurde. Insbesondere die Point-and-Print genannte Funktion, über die Nutzer Druckertreiber installieren können, lässt sich für Angriffe missbrauchen.
Updates für August 2021 helfen nicht
Zum 10. August 2021 hat Microsoft für die noch unterstützten Windows-Versionen verschiedene Sicherheitsupdates veröffentlicht, in denen auch folgender Fix genannt wird:
Changes the default privilege requirement for installing drivers when using Point and Print. After installing this update, you must have administrative privileges to install drivers. If you use Point and Print, see KB5005652, Point and Print Default Behavior Change, and CVE-2021-34481 for more information.
Zum 10. August 2021 gab es auch den MSRT Blog-Beitrag Point and Print Default Behavior Change zum Thema sowie einen Support-Beitrag KB5005652 zu Point-and-Print, mit Hilfestellungen für Administratoren. Bereits in den nachfolgend verlinkten Blog-Beiträgen hatte ich aber darauf hingewiesen, dass die Point-and-Print-Schwachstelle vermutlich nicht vollständig gefixt ist.
Patchday: Windows 10-Updates (10. August 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (10. August 2021)
Patchday: Windows 8.1/Server 2012-Updates (10. August 2021)
Anzeige
Zweifel von Sicherheitsforschern
Denn Sicherheitsforscher Benjamin Delpy wies bereits in nachfolgendem Tweet darauf hin, dass er seinen Exploit in einer virtuellen Maschine mit einer auf dem aktuellen Patchstand befindlichen Windows 365-Installation mit Standard-Nutzerrechten ausführen kann.
Von seinem öffentlichen Netzwerk-Drucker werden dann Dateien nachgeladen. Die einzige Maßnahme, die er durchführen musste, bestand in der Deaktivierung des Defender (dieser kann einen Angriff über diese Schwachstelle erkennen).
Sicherheitsforscher Will Dormann schreibt in obigem Tweet, dass er nun Administrator-Berechtigungen für seinen Proof-of-Concept (PoC) für die Schwachstelle CVE-2021-36936 benötigt. Er verweist dann auf den Tweet von Delpy, der in der Lage war, von einem Standard-Konto SYSTEM-Rechte zu erlangen.
Blog-Leser Jonas beschreibt hier in einem Kommentar zu meinem Beitrag, dass die Installation neuer Treiber oder zum aktualisieren eines Drucker-Treibers Administrator-Berechtigungen benötigt.
Standardmäßig können Benutzer ohne Administratorberechtigungen die folgenden Schritte mit Punkt und Drucken nicht mehr ausführen:
-Installieren neuer Drucker mithilfe von Treibern auf einem Remotecomputer oder Server
– Aktualisieren vorhandener Druckertreiber mit Treibern von Remotecomputer oder Server
Als Quelle ist der Support-Beitrag KB5005652 zu Point-and-Print genannt. Das führt zu einer Diskussion hier im Blog, wo Blog-Leser wie Zanza eigene Erfahrungen berichten. Er schreibt, dass er sich vom Printserver auch mit neuen Druckern verbinden könne, wenn der betroffene Treiber bereits lokal vorhanden ist. Auf Twitter habe ich eine Meldung gelesen, dass ggf. Dateien vom Remote Print-Server nachgeladen würden. Ich kann hier nichts testen, aber insgesamt ist es wohl eine ziemlich unbefriedigende Situation.
Ergänzung: Kevin Beaumont hat auf GitHub die Datei SystemNightmare.bat veröffentlicht. Damit bekommt ein Standardnutzer sofort SYSTEM-Privilegien auf allen supporteten Windows Systemen, solange die Schwachstelle offen ist.
Ergänzung 2: Benjamin Deply hat in obigem Tweet seine GitHub-Seite verlinkt. Dort gibt er Hinweise, wie dieser Angriffsvektor durch Registrierungseinträge etc. entschärft werden kann.
Microsoft veröffentlicht CVE-2021-36958
Den Kollegen von deskmodder.de ist im Tweet von Will Dormann aufgefallen, dass Microsoft zum 11. August 2021 eine neue CVE-2021-36958 (Windows Print Spooler Remote Code Execution Vulnerability) veröffentlicht hat. Dort heißt es:
A remote code execution vulnerability exists when the Windows Print Spooler service improperly performs privileged file operations. An attacker who successfully exploited this vulnerability could run arbitrary code with SYSTEM privileges. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
The workaround for this vulnerability is stopping and disabling the Print Spooler service.
Aktuell wird die Schwachstelle noch nicht ausgenutzt. Microsoft hat mal wieder den alten Workaround ausgegraben, und empfiehlt den Print-Spooler-Dienst zu stoppen und zu deaktivieren. PrintNightmare ist also noch nicht vorbei – und das in diesem Tweet gezeigte animierte GIF bringt die Patch-Versuche von Microsoft auf den Punkt.
Ähnliche Artikel
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher
Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien
Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server
Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle für Angriffe
Microsoft macht bei PrintNightmare auf "schlanker Fuß"
Patchday: Windows 10-Updates (10. August 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (10. August 2021)
Patchday: Windows 8.1/Server 2012-Updates (10. August 2021)
Anzeige
Bei bwin stehen die Quoten schlecht dafür, dass es beim nächsten Patchday voll gelöst wird: 2,90:1
Die Chancen, dass es jemals gelöst wird, werden nur geringfügig besser eingestuft!
Microsoft treibt einen in den Wahnsinn.
Jetzt muss für sämtliche Druckerinstallationen vom Printserver ein Admin-Kennwort eingegeben werden.
Dafür sollte eigentlich die GPO "Package Point and print – Approved servers" da sein.
Obwohl meine Printserver dort als vertrauenswürdig eingetragen sind, verlangt die Drucker Installation Adminrechte.
Wie habt ihr das gelöst?
Treiber z.B. per Powershell oder SCCM verteilen. Und im Image integrieren.
Einzige Chance.
also bei uns kommt dann immernoch der uac prompt und ich habe keine ahnung was ich machen soll.
habe treiber über pnputil und add-printerdriver und über die mmc printer managment, add driver probiert. keine chance. jedesmal will er den treiber vom server installieren.
Die GPO „Package Point and print – Approved servers" ist funktionslos.
Mit der GPO "Point and Print Restrictions" habe ich "Users can only point and print to these servers:" aktiviert und dort die Print Server eingetragen.
Dort kann die Adminabfrage deaktiviert werden.
Reisst vermutlich auch wieder eine Lücke.
Nein, diese Computerkonfiguration ist schon seit Windows 7 zu aktivieren, wenn es bei "miesen" Druckertreibern zu einer UAC Aufforderung kommt.
Um diese zu unterdrücken, worden dort schon immer die Vertrauenswürdigen Druckerserver hinterlegt, oder die Richtlinie auf deaktiviert gesetzt, was nicht empfohlen ist.
Hallo Mark,
beziehst du dein "Nein" auf "reisst vermutlich eine Lücke" oder auf die GPO "Package Point and print – Approved servers"?
Die ist bei mir wie gesagt funktionslos.
Danke im Voraus.
Seit dem Patch heute Nacht werden bei mir einfach mal alle Drucker deinstalliert sofern man kein Admin ist. Kommt dann kurz die Meldung die Treiber müssen aktualisiert werden. Erst wenn man sich als Admin anmeldet kommen die Drucker wieder. :-(
Soweit ich das sehen kann ist bei mir kein Point and Print im Einsatz (Habe keine Einträge in der Registry).
Server 2012 R2
Bei uns haben alle die P&P RegKeys gar kein Auswirkung. Betrifft das alle Druckertreiber oder nur bestimmt oder wie funktioniert das denn?
Verteilt die Drucker so, dass es dabei nicht um Userrechte geht: weist sie per GPO den Computern zu.
Keine gute Idee, jedenfalls für uns nicht, da einer unserer Kunden es wünscht, dass manche Drucker nur gewissen Usern zur Verfügung stehen und die wechseln öfters mal an einen anderen PC/Arbeitsplatz.
Funktioniert bei dir die Einrichtung der Drucker per GPO (Computer) nach Installation des August Patches noch? Wir haben bisher die Drucker immer per GPP verbunden. Da das nach dem Patch nicht mehr funktioniert (Treiberinstallation), habe ich jetzt einmal die Variante via GPO getestet. Ohne August Patch funktioniert es, nach Installation des Patches nicht mehr.
Hi,
Kann schon jemand sagen, ob bei diesem neue Bug weiterhin der Patch mit der DENY Regel auf dem Drivers-Verzeichnis ?
Bisher hatte das gute Dienste erwiesen, weil es relativ problemlos blieb und alle bisherigen öffentlichen Angriffspunkte verhindert hatte ( Es gibt ja keine Schreibzugriff auf das drivers Verzeichnis mehr) …
Das funktioniert mit dem aktuellen Update nicht mehr.
Wir haben letzte Woche einen neuen Printserver (Server 2019) aufgesetzt, Drucker eingerichtet (Universaltreiber PCL6) und GPOs für Computer (nicht Benutzer) eingerichtet.
Diese GPOs funktionieren mit dem CU2021-07, aber nicht mit dem CU2021-08.
Dabei war allerdings auch egal, ob der angemeldete User lokaler Admin war oder nicht.
Mit einstellen des Regkeys "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint RestrictDriverInstallationToAdministrators 0" können die Drucker dann wieder per GPO verteilt werden. Allerdings ist die Lücke dann natürlich wieder offen…
Bei uns hat es sich so verhalten:
Nach dem einspielen des Updates bekommen wir nun die Meldung "Neuer Treiber erforderlich". (Terminalserver)
Drucken ist nicht mehr möglich, es kommt die "Treiber Installationsanfrage mit Adminrechten". Obwohl lokal die gleichen Treiber installiert sind…
naja das ist jetzt vielleicht die große Chance für das "Papierlose Büro" von dem man schon seit Jahrzehnten fabuliert!
Im Grunde war es das dann für den Einsatz von printservern im Windows Domains, oder?
hm, aber die Lücken demonstrieren doch eine Treiber Installation von einem Public Server. Wenn man jetzt per GPO die Point and Print einstellungen so setzt, dass die Clients nur vom internen Printserver installieren dürfen, sollte die oben demonstrierte Lücke doch gar nicht funktionieren oder? Mal davon abgesehen, dass die Angreifer den ganzen internen Printserver kapern, aber dann hat man andere Probleme…
@Günter, sorry für den Doppelpost, aber hier schlägt Benjamin Delpy
selber die von mir gerade beschriebenen Settings vor, um die Systeme abzusichern.
https://twitter.com/gentilkiwi/status/1425875881680068608
allerdings dort per Registry, ich würde das lieber per GPOs umsetzen…
Im Github Artikel ist das GPO Verfahren beschrieben.
Gruß
Interessant, DANKE für die Infos ;-)
Ich habe den Tweet von Delpy, den er vor 2 Stunden gepostet hat, oben eingebunden und auf seine GitHub-Seite verlinkt. Danke für die Hinweise.
Ahhhh, ich checke es langsam gar nicht mehr.
Soviele CVEs, soviele verschiedene Meinungen hier im Kommentarbereich. Der Workaround von Microsoft ist ja super, Druckerdienst deaktivieren. Ich kann nicht mehr drucken, ich kann keine PDFs erstellen. Ich brauche Adminrechte, um Drucker zu installieren, die per GPP auf userbasis verteilt werden?
Hat die Point & Click GPO überhaupt eine Funktion? Wir sind hin und haben bei einer Vielzahl von Kunden die GPO aktiviert und einen nicht-vorhandenen FQDN angegeben.
War das jetzt sinnlos und unnötig? Was muss ich als Admin denn jetzt machen? Was KANN ich machen?
Ich bin so verwirrt :(
Danke
Servus Max,
ich habe jetzt für meine Systeme folgende Maßnahmen umgesetzt.
1. Bei allen Clients und Server die ACL via Powershell auf c:\windows\system32\spool\drivers angepasst –> Für SYSTEM Zugriffsverweigerung gesetzt
2. RegKey „RestrictDriverInstallationToAdministrators" in HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\ auf Wert „1" gesetzt
3. Für alle Server bis auf 3 notwendige Ausnahmen per GPO den Spooler beendet und auf deaktiviert gesetzt.
4. Für alle Clients per GPO die PointandPrint Restrictions auf den Printserver gesetzt
HKLM\Software\Policies\Microsoft\Windows NT\Printers\PackagePointAndPrint\PackagePointAndPrintServerList
HKLM\Software\Policies\Microsoft\Windows NT\Printers\PackagePointAndPrint\ListofServers
5. Ausgehenden SMB Traffic an der Firewall blockiert
Damit fahren wir jetzt in unserer Umgebung hier recht gut, sind uns anhand dem was wir uns an Informationen zusammengetragen haben relativ sicher, dass wir so bestmöglich geschützt sind (abgesehen von der einzig wahren Möglichkeit den Spooler komplett zu deaktiviern) und unsere User können fast ohne Einschränkungen arbeiten.
Hello David , I'm following the same path to workaround this situation, may have a question:
Will the following regkey disallow the installation for standard users "RestrictDriverInstallationToAdministrators=1" ?
And do you suggest that the above one with a combination of "Trusted Server List (via GPO)" works for you?
Die Lösung des Passwort-Problems wird hier beschrieben:
https://support.microsoft.com/de-de/topic/kb5005652-verwalten-des-installationsverhaltens-f%C3%BCr-neuen-point-und-print-treiber-cve-2021-34481-873642bf-2634-49c5-a23b-6d8e9a302872
Jein. Wenn man "RestrictDriverInstallationToAdministrators" auf 0 setzt, verhält sich alles wie vor dem Update, aber vermutlich ist dann auch die Lücke wieder nutzbar.
Was die im verkinkten Artikel geschilderten Einstellungen zu Point and Print bzw. Package Point and Print angeht: Diese funktionieren leider nicht (mehr). Die Erfahrung habe ich selbst gemacht und sie nun auch hier in den Kommentaren sowie bei Reddit gelesen.