[English]Mit PrintNightmare wird ja eine Reihe von Schwachstellen im Windows Print-Spooler-Dienst bezeichnet. Über diese Schwachstellen können Angreifer Rechte ausweiten und ggf. Domain-Controller übernehmen. Microsoft reagiert halbherzig mit Patches und Empfehlungen, die für die Betroffenen in der Praxis nur noch ärgerlich sind. Inzwischen werden diese Schwachstellen in Cyberangriffen ausgenutzt, und der Entdecker der Schwachstellen erhebt Vorwürfe wegen Untätigkeit gegen Microsoft. Zeit für einen Blick auf den Sachverhalt.
Anzeige
Die PrintNightmare-Schwachstelle
Anfang Juli 2021 hatte ich im Blog-Beitrag PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko erstmals über die Schwachstelle CVE-2021-1675 im Windows Print-Spooler berichtet. Es handelt sich um einer Remote Code Execution (RCE) Schwachstelle, über die ein Angreifer beliebigen Code mit SYSTEM-Rechten ausführen könnte. Dies umfasst Programme zu installieren, Daten anzuzeigen, zu ändern oder löschen oder neue Konten mit vollen Benutzerrechten zu erstellen.
Microsoft versucht seit Anfang Juli 2021 die PrintNightmare-Schwachstelle durch Updates zu beseitigen (siehe Linkliste am Artikelende). Aber nach jedem Patch weisen Sicherheitsforscher nach, dass die PrintNightmare-Schwachstelle unvollständig gepatcht wurde. Insbesondere die Point-and-Print genannte Funktion, über die Nutzer Druckertreiber installieren können, lässt sich für Angriffe missbrauchen. Die Linkliste am Artikelende fasst die Blog-Beiträge zum Thema zusammen. Microsoft empfiehlt momentan, den Druckerspooler-Dienst wieder zu deaktivieren.
Administratorrechte zur Druckerinstallation erforderlich
Mit dem letzten Sicherheitsupdate für August 2021 (siehe z.B. Patchday: Windows 10-Updates (10. August 2021)) hat Microsoft das PrintNightmare-Problem so fixen wollen, dass bei der Point-and-Print-Druckerinstallation Administratorrechte erforderlich werden (siehe z.B. diesen Artikel bei The Record Media). Blog-Leser Jonas weist ebenfalls in diesem Kommentar auf diese Problematik hin. Über Facebook erreichte mich folgender Kommentar:
Hallo zusammen, wir haben das neue kumulative Update vom August angefangen auf den Clients Windows 10 auszurollen.
Hier soll es ab nun ja Adminrechte zur Druckinstallation geben,diese Meldung bekommen wir nun auch auf 3 Endgeräten und auf zum Beispiel über 60 anderen nicht.
Die Drucker waren vorher schon für die Kollegen vorhanden, es gab keine Änderung auf dem printserver. Es läuft jeden Morgen nur ein Verarbeitung über wem zur drucker Zuordnung..Meiner Meinung nach dürfte diese Abfrage gar nicht kommen, weil die Treiber auf dem Gerät vorher schon vorhanden waren..
habe bislang noch keine logindaten eingeben und wollte erstmal per Hand den Drucker nachinstallieren…
sowas jemanden schon untergekommen?
Ein weiterer Leser hat mir per Mail geschrieben, dass die Updates zum August 2021-Patchday massive Probleme mit Netzwerkdruckern verursachen. In diesem Kommentar gibt es weitere Hinweise zur Problematik der Passwortabfrage.
Anzeige
Vernichtende Kritik von Sicherheitsforscher
Über einen Artikel von Martin Geuß bin ich darauf gestoßen, dass der Sicherheitsforscher Benjamin Delpy, der die PrintNightmare-Schwachstellen öffentlich gemacht hat, heftige Kritik an Microsoft äußert. Benjamin Delpy ist Leiter des Research & Development Security Center der Banque de France, und hat als Nebentätigkeit die PrintNightmare-Schwachstellen entdeckt. Gegenüber Windows Central äußert sich der Mann recht deutlich.
Microsoft hat mehrere Fehlerbehebungen eingeführt, die jedoch noch nicht alle Sicherheitsprobleme im Zusammenhang mit der Installation von Treibern/Druckern durch nicht privilegierte Benutzer vollständig lösen. Ihr Fix beschränkt nun das Standardverhalten des Spoolers so, dass er es nicht zulässt, dass unprivilegierte Benutzer einen Treiber installieren (selbst einen legalen). Sie ziehen es vor, das gesamte Problem zu vermeiden, [anstatt] einen Teil des Produkts neu zu gestalten.
Microsoft macht und tut, kann aber nicht die Quelle der Schwachstellen beseitigen. Im Grunde bliebe nur den ganzen Print-Spooler-Dienst neu zu schreiben, um aus diesem Schlamassel herauszukommen. Das möchte man aber vermeiden und zeichnet den Nutzern lieber schöne neue Bildchen in Form von neu gestalteten Icons und Benutzeroberfläche – unter der Haube schleppt man aber seit Jahrzehnten ziemlich kaputten Code mit. Aber solange die Nutzerschaft freudig jedes neu gepinselte Icon begrüßen, kann Microsoft diesen Stiefel weiter fahren. Ist ja alles alternativlos – höre ich hier im Blog zumindest öfters.
Ähnliche Artikel
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher
Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien
Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
Windows PrintNightmare, neue Runde mit CVE-2021-36958
Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server
Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle für Angriffe
Patchday: Windows 10-Updates (10. August 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (10. August 2021)
Patchday: Windows 8.1/Server 2012-Updates (10. August 2021)
Anzeige
Ich habe bei einem Kunden auch seit den August-Updates das Problem, dass auf einigen Clients der Kyocera Druckertreiber aktualisiert werden muss und dafür Admin-Rechte erforderlich sind. Am Printserver gab es außer den MS-Updates keine Änderung. Betrifft allerdings nicht alle Clients. Warum, ist mir leider nicht klar.
Ich hatte heute das gleiche Problem bei einem Kunden, der gestern den Patchday hatte.
Printer sind von HP, an den Point to Print GPOs wurde nichts geändert, aber seit heute werden Drucker nicht mehr verbunden. Betrifft alle Clients nach und nach (Drucker standen leider auf Replace).
Wenn man den Drucker per Hand vom Fileshare einbinden möchte kommt ein UAC Prompt für den Treiber (obwohl ja per GPO freigegeben).
Im Eventlog der Clients sehe ich bei jedem gpupdate /force die EventID 4098 und "0x80070bcb".
Habe leider noch keinen Fix gefunden….
siehe
https://web.archive.org/web/20221220052423/https://msrc-blog.microsoft.com/2021/08/10/point-and-print-default-behavior-change/
Dass Microsoft mit dieser Art durchkommt, sagt doch mindestens soviel über die Kundschaft aus, wie über MS selbst. MS hat sicherheitstechnisch schon weitaus Schlimmeres getan und nie wurde seitens der Kundschaft auch nur mit der Wimper gezuckt. Die Kunden sind das Problem, keiner glaubt, dass er was bewegen kann und schreckt schon zurück, bei der Vorstellung, mit denen irgendwie geartet Kontakt aufnehmen zu müssen.
Ein großer Teil der Daten weltweit hängt von deren Technik ab, und wenn MS da Freikarten für jeden Hackerblödel verteilt, dann schafft es das kaum in die Presse – warum ist das so?
Solange Informationssicherheit nicht als etwas für jeden Wichtiges erkannt wird, wird MS weiter mit seinem Verhalten durchkommen.
Kannst du mir mal bitte eine Kontaktmöglichkeit von MS geben und ich erledige das für dich. Leider gibt es absolut gar keine Möglichkeit irgend jemand mit nur 0.00001 Entscheidungsmöglichkeiten zu kontaktieren bei diesem Scheissverein.
Ich habe bei uns auch seit dem August-Updates das Problem, dass auf einigen Clients der Ricoh Druckertreiber aktualisiert werden muss und dafür Admin-Rechte erforderlich sind. Es betrifft von 100 Clients etwa 14 Clients. Warum, ist mir leider nicht ersichtlich da eigentlich auf dem Client und dem Server der identische Treiber installiert ist.
Siehe bei dem Kommentar vom Martin oben, habe ich einen Kunden bei dem es exakt eben so ist (jeder Client/Userprofil der die Drucker neu verbinden möchte). Vllt. kann Herr Born das als eigenen Artikel verfassen? Scheint ein größeres Problem zu sein.
Bei uns werden neue Drucker nur über GPO Verbunden wenn der REG Eintrag RestrictDriverInstallationToAdministrators auf 0 ist auf dem Client nach dem August Update. dann gelten die alten Drucker GPOs mit den erlaubten Piont and Print Einstellungen. Einen anderen Weg Kombination hat nicht funktioniert. Einige Drucker Modelle gingen auch nicht wenn Sie vorher schon vorhanden gewesen sind. Erst nach dem REG Eintrag ging es wieder. Auf Terminal Server 2016 2019 hatten wir keine Probleme mit den Druckern da wurde nach der Installation immer jeder Modell damals einmal verbunden.
Ich frage mich ja sowieso, wie ein Angreifer auf einem Client die Lücke ausnutzen will, wenn man per GPO die Point and Print einstellungen auf einen festen internen Printserver leitet. Da wäre es ja egal ob Admin vorrausgesetzt oder nicht, solange der Printserver nicht verseucht ist… Oder ich blicke da einfach nicht mehr durch.
In den Beispielen von Delpy sehe ich immer seinen public Printserver, der den modifizierten Treiber enthält.
Das ist ja das Problem: Hat ein Admin die Verwendung der Printserver eingeschränkt, und ist dieser sauber, ist die Umgebung bzgl. PrintNightmare imho sicher.
Aber alle Umgebungen, wo ein beliebiger Printserver im Client aufgerufen werden kann, bergen das Risiko, dass dies durch Malware passiert, die lokal mit Standard-Benutzerrechten läuft.
Das ist einfach lächerlich, dass man es nicht schafft, dass ein Benutzer etwas drucken kann, ohne dass man vorher dem Benutzer die Möglichkeit einräumen musste, Systemcode in größerem Umfang zu verändern.
Das ganze Berechtigungskonzept ist doch dann Mist.
Nb habe noch einen Client der auf einmal Admin Rechte für die Neueineichtung von Druckertreibern fordert. August Update nicht mal installiert…