{"id":255513,"date":"2021-07-08T08:13:59","date_gmt":"2021-07-08T06:13:59","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255513"},"modified":"2021-07-17T11:57:51","modified_gmt":"2021-07-17T09:57:51","slug":"nachlese-das-chaos-printnightmare-notfall-update-6-7-juli-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/08\/nachlese-das-chaos-printnightmare-notfall-update-6-7-juli-2021\/","title":{"rendered":"Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6.\/7.Juli 2021)"},"content":{"rendered":"

[English<\/a>]Microsoft hat sich zwar beflei\u00dfigt bzw. bem\u00fcht, zeitnah Sicherheits-Updates f\u00fcr die PrintNightmare-Schwachstelle (CVE-2021-1675) im Windows Print-Spooler-Dienst durch vorgezogene Sonderupdates zu schlie\u00dfen. Aber diese Sonderupdates scheinen im Chaos zu enden – bei mir werden Erinnerungen an das Printer-Gate vom M\u00e4rz 2021 wach, wo Microsoft eine Reihe Korrektur-Updates ver\u00f6ffentlichen musste, um eine Druckerschwachstelle zu schlie\u00dfen, aber das Drucken noch zu erm\u00f6glichen. Ich fasse mal einige Punkte au\u00dferhalb der Dokumentation Microsofts in diesem Blog-Beitrag zusammen. Das reicht vom Umstand, dass die Updates die Schwachstellen nicht schlie\u00dfen, geht \u00fcber Installationsprobleme und fehlerhafte Dokumentation bis hin zu Problemen, dass anschlie\u00dfend Etiketten-Drucker von Zebra streiken.<\/p>\n

<\/p>\n

Updates f\u00fcr die Schwachstelle CVE-2021-1675<\/h2>\n

\"\"In allen Windows-Versionen gibt es die Remote Code Execution (RCE) Schwachstelle CVE-2021-1675 im Windows Print-Spooler-Dienst. Diese erm\u00f6glicht Angreifern beliebigen Code mit SYSTEM-Rechten auszuf\u00fchren. Nachdem ein Proof of Concept (PoC) \u00f6ffentlich wurde, gab es bereits erste Angriffe auf die Schwachstelle. Ich hatte fr\u00fchzeitig im Blog-Beitrag PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a> \u00fcber die Schwachstelle berichtet. Zum 6. und 7. Juli 2021 hat Microsoft dann auch au\u00dferplanm\u00e4\u00dfige Updates f\u00fcr die unterst\u00fctzten Windows-Versionen freigegeben (siehe Links am Artikelende).<\/p>\n

Updates schlie\u00dfen nicht alle Schwachstellen<\/h2>\n

Teil 1 des Dramas liegt im Umstand, es Microsoft nicht gelingen will, die Schwachstellen im Windows Print-Spooler-Dienst sauber zu schlie\u00dfen. Zum 8. Juni 2021 hatte Microsoft zwar eine Local Privilege Escalation-Schwachstelle in diesem Dienst \u00fcber die Sicherheitsupdates f\u00fcr Windows geschlossen. Anfang Juli 2021 hatte ich im Blog-Beitrag PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a> aber bereits darauf hingewiesen, dass der Juni 2021-Patch zwar eine Schwachstelle beseitigt, Angriffe auf den Windows Print-Spooler-Dienst \u00fcber die Schwachstelle CVE-2021-1675 jetzt sogar remote m\u00f6glich seien.<\/p>\n

\"PrintNightmare-Patches\"<\/a><\/p>\n

Nun hat Microsoft also Sonderupdates f\u00fcr diese Schwachstelle CVE-2021-1675 freigegeben. Vor wenigen Tagen wurden aber weitere, neu entdeckte Schwachstellen im Windows Print-Spooler-Dienst bekannt. Und die Sonder-Updates schlie\u00dfen diese Schwachstellen nicht, so dass Angreifer die von den Updates vorgenommenen \u00c4nderungen aushebeln k\u00f6nnen. Es kam bereits am 6. Juli in diesem Kommentar<\/a> auf, ich hatte aus terminlichen Gr\u00fcnden aber keine Zeit, das n\u00e4her im Blog zu thematisieren. Blog-Leser Carsten wies per Kommentar<\/a> bereits auf den obigen Tweet<\/a> hin.<\/p>\n

\"PrintNightmare<\/a><\/p>\n

Die obigen Tweets<\/a> weisen erneut auf diesen Umstand hin, und die Kollegen von Bleeping Computer haben es hier<\/a> sowie von The Hacker News in Tweets<\/a> und Artikeln<\/a> thematisiert.<\/p>\n

\"PrintNightmare<\/a><\/p>\n

Die von Microsoft freigegebenen Sicherheitsupdates schlie\u00dfen zwar eine Schwachstelle, lassen sich aber leicht umgehen. Mimikatz-Entwickler Benjamin Delpy schreibt in diesem Tweet<\/a>, dass sich die Local Privilege Escalation-Schwachstelle (LPE) sowie die Remote Privilege Escalation-Schwachstelle (RCE) weiterhin ausnutzen lassen.<\/p>\n

<\/p>\n

Delpy hat in diesem Tweet<\/a> ein Flussdiagramm mit den By-Passing-M\u00f6glichkeiten ver\u00f6ffentlicht. Die Patches von Microsoft wirken zwar, aber nicht so richtig. Angriffe auf Remote Ziele mit \\ \\\u00a0 in der URL werden jetzt zwar durch eine Pr\u00fcfung verhindert. Verwendet der Angreifer aber Muster wie \\ ?? \\ in den UNC-Pfaden, sind Angriffe weiter m\u00f6glich. Bolko hat es in diesem Kommentar<\/a> hier im Blog ebenfalls zusammen gefasst. Von heise gibt es diesen Beitrag<\/a> dazu.<\/p>\n

Die Updates verursachen Probleme<\/h2>\n

Eigentlich dr\u00e4ngt alles danach, die au\u00dferplanm\u00e4\u00dfigen Updates dringend zu installieren. Inzwischen liegen mir aber erste R\u00fcckmeldungen \u00fcber Probleme vor, die ich kurz zusammenfasse.<\/p>\n

WSUS-Erkennungs- und Installations-Probleme<\/h3>\n

In diesem Kommentar<\/a> hier im Blog schreibt ein Leser, dass er im WSUS Probleme mit der Erkennung habe. Hier ein Auszug:<\/p>\n

WSUS hat scheinbar mal wieder ein Detection Bug!
\n20H2 Clients die bereits KB5003690 (19042.1081) installiert haben,
\nwerden nicht als \u201eneeded\" Target erkannt. Via MS wird das Patch gefunden und installiert.
\nIch nehme an 20H2 Clients mit KB5004760 (19042.1082) sind genauso betroffen.<\/p><\/blockquote>\n

Auf das Problem der im kumulativen Update (LCU) integrierten Servicing Stack Updates (SSU) hatte ich im Blog-Beitrag Windows 10, der WSUS und das SSU+LCU-Erkennungs-Chaos<\/a> hingewiesen. Im verlinkten Kommentarthread gibt es weitere Stimmen zu diesem Thema – ohne das ben\u00f6tigte SSU vom Mai 2021 lassen sich kumulative Updates ab Juni 2021 im WSUS wohl in Windows 10 Version 2004 und h\u00f6her nicht installieren.<\/p>\n

Wenn das Update f\u00fcr Windows 10 2004-21H2 den Installationsfehler 0x80242017 ausl\u00f6st, steht dieser f\u00fcr WU_E_UH_NEW_SERVICING_STACK_REQUIRED. Es fehlt also der Mai 2021 SSU. Eine L\u00f6sung f\u00fcr Betroffene findet sich in diesem Kommentar<\/a> hier im Blog.<\/p><\/blockquote>\n

Zebra-Etikettendrucker streiken<\/h3>\n

Bereits direkt nach Freigabe der ersten Sonder-Updates hat sich Blog-Leser Sebastian in diesem Kommentar<\/a> gemeldet und schreibt:<\/p>\n

Moin,<\/p>\n

also wie es aussieht hat das Update bei uns die Ticketdrucker \u201ezerschossen\"
\nWindows 10 Pro x64 20H2<\/p>\n

Intermec EasyCoder F4 und PF4i \u2026 sind grad am kl\u00e4ren, was da los ist.<\/p>\n

Ansonsten alles ok soweit (Canon, HP, Epson)<\/p><\/blockquote>\n

Auch bei heise habe ich im Forum diesen Thread<\/a> gefunden, wo die streikenden Zebra-Etikettendrucker (D420, Zebra 2844, Intermec PF4i und PM43) best\u00e4tigt werden. Es sieht so aus, dass nur die Deinstallation des betreffenden Updates dieses Problem beseitigen kann.<\/p>\n

Erg\u00e4nzung:<\/strong> Microsoft hat zum 9. Juli 2021 einen Fix f\u00fcr Windows 10 Version 2004-21H1 bereitgestellt, der das Problem \u00fcber die Know Issues Rollback-Funktion (KIR) beseitigt (siehe\u00a0Windows 10: Microsoft fixt Zebra-\/Dymo-Druckproblem KB5004945 per KIR<\/a>).<\/p><\/blockquote>\n

Wieder BlueScreens beim Drucken?<\/h3>\n

Erg\u00e4nzung:<\/strong> Auf Facebook habe ich das Feedback von einem Dienstleister erhalten, dass er bereits zwei Kunden mit BlueScreens beim Drucken durch Update KB5004945, wie im M\u00e4rz 2021, gehabt habe. Details liegen aber noch nicht vor – vielleicht da das Augenmerk drauf legen und ggf. hier R\u00fcckmeldung als Kommentar geben, wenn es bei euch auftritt.<\/p>\n

Deutsche Dokumentation falsch<\/h3>\n

In diesem Kommentar<\/a> weist Stefan A. darauf hin, dass die deutsche Dokumentation von Microsoft zum Thema \"Point and Print\" falsch sei. Hanspeter Holzer weist in nachfolgendem Tweet<\/a> explizit nochmals darauf hin.<\/p>\n

\"PrintNightmare<\/a><\/p>\n

Die deutschsprachigen Vorgaben f\u00fcr die Registrierungswerte deaktivieren das Ganze, dann wirkt der Patch nicht (heise hat hier<\/a> was zu geschrieben). Verwendet den englischsprachigen Supportbeitrag KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates<\/a>, um die betreffenden Richtlinieneintr\u00e4ge zu setzen.<\/p>\n

Achtung bei 0patch-Nutzung<\/h2>\n

Hier im Blog hatte ich ja die Micropatches von 0patch zum Schlie\u00dfen der Schwachstelle thematisiert (siehe folgende Linkliste). Diese L\u00f6sung stand vor den Microsoft Updates bereit und hat wohl auch nicht deren Folgen. Wer also auf 0patch setzt, sollte folgenden Tweet<\/a> beherzigen (danke an Carsten<\/a>).<\/p>\n

\"https:\/\/i.imgur.com\/fAIYFZx.png\"<\/a><\/p>\n

Erg\u00e4nzung:<\/strong> Das Chaos ist noch nicht vorbei, auch wenn revidierte Updates zum 13. Juli 2021 ausgerollt wurden (siehe\u00a0Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)<\/a>).<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nPatchday: Windows 10-Updates (8. Juni 2021)<\/a>
\nPoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a>
\nWindows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS best\u00e4tigt; CISA warnt<\/a>
\n0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
\nNotfall-Update schlie\u00dft PrintNightmare-Schwachstelle in Windows (6. Juli 2021)<\/a>
\nPrintNightmare-Notfall-Update auch f\u00fcr Windows Server 2012 und 2016 (7. Juli 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat sich zwar beflei\u00dfigt bzw. bem\u00fcht, zeitnah Sicherheits-Updates f\u00fcr die PrintNightmare-Schwachstelle (CVE-2021-1675) im Windows Print-Spooler-Dienst durch vorgezogene Sonderupdates zu schlie\u00dfen. Aber diese Sonderupdates scheinen im Chaos zu enden – bei mir werden Erinnerungen an das Printer-Gate vom M\u00e4rz 2021 … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,3694,2557],"tags":[68,8264,154,4328,4315,3288],"class_list":["post-255513","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-10","category-windows-server","tag-drucken","tag-patchday-7-2021","tag-probleme","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255513","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255513"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255513\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255513"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255513"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255513"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}