{"id":255547,"date":"2021-07-10T00:02:00","date_gmt":"2021-07-09T22:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255547"},"modified":"2021-07-16T10:41:58","modified_gmt":"2021-07-16T08:41:58","slug":"microsoft-zur-printnightmare-schwachstelle-cve-2021-34527-windows-ist-nach-patch-sicher","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/10\/microsoft-zur-printnightmare-schwachstelle-cve-2021-34527-windows-ist-nach-patch-sicher\/","title":{"rendered":"Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher"},"content":{"rendered":"

\"Windows\"[English<\/a>]Microsoft hat zu Berichten, dass die au\u00dferplanm\u00e4\u00dfigen Updates zum Schlie\u00dfen der PrintNightmare-Schwachstelle CVE-2021-34527 im Windows Print-Spooler-Dienst nicht alle Risiken beseitigen w\u00fcrden, Stellung bezogen. Die Botschaft lautet: Wenn die Sonderupdates installiert werden und Windows richtig konfiguriert und betrieben wird, gibt es kein bekanntes Szenario, welches eine Ausnutzung der Schwachstellen erm\u00f6glicht. Hier als Nachgang eine \u00dcbersicht \u00fcber dieses Thema.<\/p>\n

<\/p>\n

Die PrintNightmare-Schwachstellen<\/h2>\n

\"\"Im Windows Print-Spooler-Dienst gab es diverse Schwachstellen, die mit den regul\u00e4ren Juni 2021-Sicherheitsupdates (siehe z.B. Patchday: Windows 10-Updates (8. Juni 2021)<\/a>)geschlossen werden sollten. Ende Juni 2021 stellte sich aber heraus, dass die Sicherheitsupdates vom 8. Juni 2021 nicht wirklich wirkten. Es gab eine neue Schwachstelle (CVE-2021-1675) im Windows Print-Spooler-Dienst, die eine Remote Code Execution (RCE) erm\u00f6glichte. Diese Schwachstellen erm\u00f6glichen Angreifern beliebigen Code mit SYSTEM-Rechten auszuf\u00fchren. Durch ein ungewollt ver\u00f6ffentlichtes Proof of Concept (PoC) gab es bereits erste Angriffe auf die Schwachstelle.<\/p>\n

Ich hatte fr\u00fchzeitig im Blog-Beitrag PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a> \u00fcber die Schwachstelle berichtet. Zum 6. und 7. Juli 2021 hat Microsoft dann auch au\u00dferplanm\u00e4\u00dfige Updates f\u00fcr die unterst\u00fctzten Windows-Versionen freigegeben (siehe Artikellinks am Beitragsende). Allerdings gab es bei den Updates f\u00fcr die diversen Windows-Versionen gleich mehrere Probleme. Einmal gab es Hinweise, dass der Patch wirkungslos sei, weil sich die Fixes umgehen lie\u00dfen. Zudem traten Kollateralsch\u00e4den bei der Update-Installation auf, die ich im Blog-Beitrag Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6.\/7.Juli 2021)<\/a> thematisiert habe. Das Problem mit manchen Etikettendruckern wurden dann f\u00fcr Windows 10 Version 2004 und h\u00f6her von Microsoft gefixt (siehe Windows 10: Microsoft fixt Zebra-\/Dymo-Druckproblem KB5004945 per KIR<\/a>).<\/p>\n

Microsoft \u00e4u\u00dfert sich zur Sicherheit<\/h2>\n

Auf Grund der Diskussionen, dass die Updates die Schwachstellen im Windows Print-Spooler-Dienst nicht vollst\u00e4ndig schlie\u00dfen w\u00fcrden, hat Microsoft sich dann am 8. Juli 2021 in einem separaten Blog-Beitrag<\/a> ge\u00e4u\u00dfert. Nachfolgender Tweet<\/a> weist auf diesen Artikel hin.<\/p>\n

\"Hinweis<\/a><\/p>\n

Microsoft bezieht sich explizit auf die Diskussionen nach dem Out-of-Band (OOB) Updates zum Schlie\u00dfen der Schwachstellen und geht auf den Verdacht ein, dass die Updates weiterhin Schwachstellen offen lassen. Dazu schreibt Microsoft, dass alle Untersuchungen gezeigt aben, dass das OOB-Sicherheitsupdate wie vorgesehen funktioniert. Es ist gegen die bekannten Drucker-Spooling-Exploits und andere \u00f6ffentliche Berichte, die unter dem Namen PrintNightmare zusammengefasst werden, wirksam.<\/p>\n

Alle Berichte, die die Wirksamkeit in Frage stellen, und die Microsoft untersucht hat, beruhten auf der \u00c4nderung der Standardregistrierungseinstellung in Bezug auf Point and Print, die dann zu einer unsicheren Konfiguration des Systems f\u00fchren. Im Artikel f\u00fchrt Microsoft aus, dass die Patches keinerlei \u00c4nderungen an den Registrierungseinstellungen von Point and Print veranlassen. Administratoren sollen daher die folgenden Registrierungseinstellungen \u00fcberpr\u00fcfen. Im Schl\u00fcssel:<\/p>\n

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\Printers\\PointAndPrint<\/p>\n

m\u00fcssen die 32-Bit-DWORD-Werte NoWarningNoElevationOnInstall = 0<\/em> und UpdatePromptSettings = 0<\/em> gesetzt sein, um den sicheren Standardbetrieb zu gew\u00e4hrleisten. Dem ist gleich, wenn der Schl\u00fcssel oder die DWORD-Werte fehlen. Sind die Werte vorhanden und nicht auf 0 gesetzt, wurde die Standardkonfigurierung ge\u00e4ndert und das System ist unsicher.\u00a0 Dieser heise-Artikel<\/a> greift das Thema ebenfalls auf und h\u00e4lt einige Erl\u00e4uterungen bereit.<\/p>\n

Erg\u00e4nzung:<\/strong> Nach dem Patch ist vor dem Patch. Zum 15. Juli 2021 ist eine neue Schwachstelle \u00f6ffentlich geworden, siehe\u00a0Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)<\/a><\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Patchday: Windows 10-Updates (8. Juni 2021)<\/a>
\nPoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a>
\nWindows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS best\u00e4tigt; CISA warnt<\/a>
\n0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
\nNotfall-Update schlie\u00dft PrintNightmare-Schwachstelle in Windows (6. Juli 2021)<\/a>
\nPrintNightmare-Notfall-Update auch f\u00fcr Windows Server 2012 und 2016 (7. Juli 2021)<\/a>
\nNachlese: Das Chaos-PrintNightmare-Notfall-Update (6.\/7.Juli 2021)<\/a>
\nWindows 10: Microsoft fixt Zebra-\/Dymo-Druckproblem KB5004945 per KIR<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat zu Berichten, dass die au\u00dferplanm\u00e4\u00dfigen Updates zum Schlie\u00dfen der PrintNightmare-Schwachstelle CVE-2021-34527 im Windows Print-Spooler-Dienst nicht alle Risiken beseitigen w\u00fcrden, Stellung bezogen. Die Botschaft lautet: Wenn die Sonderupdates installiert werden und Windows richtig konfiguriert und betrieben wird, gibt es … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301],"tags":[4328,4315,3288],"class_list":["post-255547","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255547","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255547"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255547\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255547"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255547"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255547"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}