{"id":256846,"date":"2021-08-20T13:55:02","date_gmt":"2021-08-20T11:55:02","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256846"},"modified":"2021-08-21T00:03:14","modified_gmt":"2021-08-20T22:03:14","slug":"microsofts-macht-bei-printnightmare-auf-schlanker-fu","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/20\/microsofts-macht-bei-printnightmare-auf-schlanker-fu\/","title":{"rendered":"Microsofts macht bei PrintNightmare auf "schlanker Fuß""},"content":{"rendered":"

\"Windows\"[English<\/a>]Mit PrintNightmare wird ja eine Reihe von Schwachstellen im Windows Print-Spooler-Dienst bezeichnet. \u00dcber diese Schwachstellen k\u00f6nnen Angreifer Rechte ausweiten und ggf. Domain-Controller \u00fcbernehmen. Microsoft reagiert halbherzig mit Patches und Empfehlungen, die f\u00fcr die Betroffenen in der Praxis nur noch \u00e4rgerlich sind. Inzwischen werden diese Schwachstellen in Cyberangriffen ausgenutzt, und der Entdecker der Schwachstellen erhebt Vorw\u00fcrfe wegen Unt\u00e4tigkeit gegen Microsoft. Zeit f\u00fcr einen Blick auf den Sachverhalt.<\/p>\n

<\/p>\n

Die PrintNightmare-Schwachstelle<\/h2>\n

\"\"Anfang Juli 2021 hatte ich im Blog-Beitrag PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a> erstmals \u00fcber die Schwachstelle CVE-2021-1675 im Windows Print-Spooler berichtet. Es handelt sich um einer Remote Code Execution (RCE) Schwachstelle, \u00fcber die ein Angreifer beliebigen Code mit SYSTEM-Rechten ausf\u00fchren k\u00f6nnte. Dies umfasst Programme zu installieren, Daten anzuzeigen, zu \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten zu erstellen.<\/p>\n

Microsoft versucht seit Anfang Juli 2021 die PrintNightmare-Schwachstelle durch Updates zu beseitigen (siehe Linkliste am Artikelende). Aber nach jedem Patch weisen Sicherheitsforscher nach, dass die PrintNightmare-Schwachstelle unvollst\u00e4ndig gepatcht wurde. Insbesondere die Point-and-Print genannte Funktion, \u00fcber die Nutzer Druckertreiber installieren k\u00f6nnen, l\u00e4sst sich f\u00fcr Angriffe missbrauchen. Die Linkliste am Artikelende fasst die Blog-Beitr\u00e4ge zum Thema zusammen. Microsoft empfiehlt momentan, den Druckerspooler-Dienst wieder zu deaktivieren.<\/p>\n

Administratorrechte zur Druckerinstallation erforderlich<\/h2>\n

Mit dem letzten Sicherheitsupdate f\u00fcr August 2021 (siehe z.B. Patchday: Windows 10-Updates (10. August 2021)<\/a>) hat Microsoft das PrintNightmare-Problem so fixen wollen, dass bei der Point-and-Print-Druckerinstallation Administratorrechte erforderlich werden (siehe z.B. diesen Artikel<\/a> bei The Record Media). Blog-Leser Jonas weist ebenfalls in diesem Kommentar<\/a> auf diese Problematik hin. \u00dcber Facebook erreichte mich folgender Kommentar:<\/p>\n

Hallo zusammen, wir haben das neue kumulative Update vom August angefangen auf den Clients Windows 10 auszurollen.<\/p>\n

Hier soll es ab nun ja Adminrechte zur Druckinstallation geben,diese Meldung bekommen wir nun auch auf 3 Endger\u00e4ten und auf zum Beispiel \u00fcber 60 anderen nicht.<\/p>\n

Die Drucker waren vorher schon f\u00fcr die Kollegen vorhanden, es gab keine \u00c4nderung auf dem printserver. Es l\u00e4uft jeden Morgen nur ein Verarbeitung \u00fcber wem zur drucker Zuordnung..Meiner Meinung nach d\u00fcrfte diese Abfrage gar nicht kommen, weil die Treiber auf dem Ger\u00e4t vorher schon vorhanden waren..<\/p>\n

habe bislang noch keine logindaten eingeben und wollte erstmal per Hand den Drucker nachinstallieren\u2026<\/p>\n

sowas jemanden schon untergekommen?<\/p><\/blockquote>\n

Ein weiterer Leser hat mir per Mail geschrieben, dass die Updates zum August 2021-Patchday massive Probleme mit Netzwerkdruckern verursachen. In diesem Kommentar<\/a> gibt es weitere Hinweise zur Problematik der Passwortabfrage.<\/p>\n

Vernichtende Kritik von Sicherheitsforscher<\/h2>\n

\u00dcber einen Artikel<\/a> von Martin Geu\u00df bin ich darauf gesto\u00dfen, dass der Sicherheitsforscher Benjamin Delpy, der die PrintNightmare-Schwachstellen \u00f6ffentlich gemacht hat, heftige Kritik an Microsoft \u00e4u\u00dfert. Benjamin Delpy ist Leiter des Research & Development Security Center der Banque de France, und hat als Nebent\u00e4tigkeit die PrintNightmare-Schwachstellen entdeckt. Gegen\u00fcber Windows Central<\/a> \u00e4u\u00dfert sich der Mann recht deutlich.<\/p>\n

Microsoft hat mehrere Fehlerbehebungen eingef\u00fchrt, die jedoch noch nicht alle Sicherheitsprobleme im Zusammenhang mit der Installation von Treibern\/Druckern durch nicht privilegierte Benutzer vollst\u00e4ndig l\u00f6sen. Ihr Fix beschr\u00e4nkt nun das Standardverhalten des Spoolers so, dass er es nicht zul\u00e4sst, dass unprivilegierte Benutzer einen Treiber installieren (selbst einen legalen). Sie ziehen es vor, das gesamte Problem zu vermeiden, [anstatt] einen Teil des Produkts neu zu gestalten.<\/p><\/blockquote>\n

Microsoft macht und tut, kann aber nicht die Quelle der Schwachstellen beseitigen. Im Grunde bliebe nur den ganzen Print-Spooler-Dienst neu zu schreiben, um aus diesem Schlamassel herauszukommen. Das m\u00f6chte man aber vermeiden und zeichnet den Nutzern lieber sch\u00f6ne neue Bildchen in Form von neu gestalteten Icons und Benutzeroberfl\u00e4che – unter der Haube schleppt man aber seit Jahrzehnten ziemlich kaputten Code mit. Aber solange die Nutzerschaft freudig jedes neu gepinselte Icon begr\u00fc\u00dfen, kann Microsoft diesen Stiefel weiter fahren. Ist ja alles alternativlos – h\u00f6re ich hier im Blog zumindest \u00f6fters.<\/p>\n

\u00c4hnliche Artikel<\/strong>
\nPoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a>
\nWindows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS best\u00e4tigt; CISA warnt<\/a>
\nNachlese: Das Chaos-PrintNightmare-Notfall-Update (6.\/7.Juli 2021)<\/a>
\nNotfall-Update schlie\u00dft PrintNightmare-Schwachstelle in Windows (6. Juli 2021)<\/a>
\nPrintNightmare-Notfall-Update auch f\u00fcr Windows Server 2012 und 2016 (7. Juli 2021)<\/a>
\nMicrosoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher<\/a>
\nWindows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)<\/a>
\nPrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien<\/a>
\nMicrosoft Defender for Identity kann PrintNightmare-Angriffe erkennen<\/a>
\n0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
\n0patch-Fix f\u00fcr neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)<\/a>
\nWindows PrintNightmare, neue Runde mit CVE-2021-36958<\/a>
\nRansomware-Gang nutzt PrintNightmare f\u00fcr Angriffe auf Windows Server<\/a>
\nVice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle f\u00fcr Angriffe<\/a><\/p>\n

Patchday: Windows 10-Updates (10. August 2021)<\/a>
\nPatchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (10. August 2021)<\/a>
\nPatchday: Windows 8.1\/Server 2012-Updates (10. August 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Mit PrintNightmare wird ja eine Reihe von Schwachstellen im Windows Print-Spooler-Dienst bezeichnet. \u00dcber diese Schwachstellen k\u00f6nnen Angreifer Rechte ausweiten und ggf. Domain-Controller \u00fcbernehmen. Microsoft reagiert halbherzig mit Patches und Empfehlungen, die f\u00fcr die Betroffenen in der Praxis nur noch \u00e4rgerlich … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[8273,4328,3288],"class_list":["post-256846","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-printnightmare","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256846","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256846"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256846\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256846"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256846"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256846"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}