{"id":257063,"date":"2021-08-28T00:03:40","date_gmt":"2021-08-27T22:03:40","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257063"},"modified":"2023-12-10T23:32:35","modified_gmt":"2023-12-10T22:32:35","slug":"windows-printnightmare-nachlese-und-stand-august-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/28\/windows-printnightmare-nachlese-und-stand-august-2021\/","title":{"rendered":"Windows: PrintNightmare-Nachlese und Stand (27. August 2021)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Wir haben Ende August 2021, und die unter dem Begriff PrintNightmare zusammengefassten Schwachstellen im Windows Print-Spooler-Dienst bereiten Administratoren weiterhin Probleme. Zum August 2021-Patchday gab es zwar Sicherheitsupdates, die aber mehr Probleme als L\u00f6sungen bieten. Daher hier eine Zusammenfassung zum Stand Ende August 2021.<\/p>\n

<\/p>\n

Die PrintNightmare-Schwachstelle<\/h2>\n

\"\"Anfang Juli 2021 hatte ich im Blog-Beitrag PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a> erstmals \u00fcber die Schwachstelle CVE-2021-1675 im Windows Print-Spooler berichtet. Es handelt sich um einer Remote Code Execution (RCE) Schwachstelle, \u00fcber die ein Angreifer beliebigen Code mit SYSTEM-Rechten ausf\u00fchren k\u00f6nnte. Dies umfasst Programme zu installieren, Daten anzuzeigen, zu \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten zu erstellen.<\/p>\n

Microsoft versucht seit Anfang Juli 2021 die PrintNightmare-Schwachstelle durch Updates zu beseitigen (siehe Linkliste am Artikelende). Diese Versuche schlugen bisher aber fehl, die PrintNightmare-Schwachstelle wurde unvollst\u00e4ndig gepatcht. Insbesondere die Point-and-Print genannte Funktion, \u00fcber die Nutzer Druckertreiber installieren k\u00f6nnen, l\u00e4sst sich f\u00fcr Angriffe missbrauchen. Die Linkliste am Artikelende fasst die Blog-Beitr\u00e4ge zum Thema zusammen. Microsoft empfiehlt momentan, den Druckerspooler-Dienst wieder zu deaktivieren.<\/p>\n

Sicherheitsanbieter Semperis empfielt, Domain-Controller niemals als Druckserver zu verwenden. Denn zus\u00e4tzlich zu den zahlreichen Schwachstellen in Windows Print Spooler erm\u00f6glicht ein Angriffsvektor gegen diesen Dienst, als \u201ethe printer bug\" bekannt, einem Angreifer, der eine Ressource mit uneingeschr\u00e4nkter Kerberos-Delegation kompromittieren kann, auch den Domain-Controller mit SYSTEM-Rechten zu kompromittieren (eine Erkl\u00e4rung f\u00fcr diesen Angriff findet sich hier<\/a>).<\/p>\n

Administratoren k\u00f6nnen den Print Spooler-Dienst f\u00fcr alle ihre Domain-Controller (oder f\u00fcr jeden anderen Computer) deaktivieren, indem sie entweder die Gruppenrichtlinien-Einstellung unter<\/p>\n

Computerkonfiguration\\Windows-Einstellungen\\Sicherheitseinstellungen\\Systemdienste<\/pre>\n
oder noch besser, die GP-Einstellungen unter<\/p>\n
Computerkonfiguration\\Einstellungen\\Systemsteuerungseinstellungen\\Dienste<\/pre>\n
verwenden.<\/p><\/blockquote>\n
Nach August-Update werden Adminrechte ben\u00f6tigt<\/h3>\n
Mit dem letzten Sicherheitsupdate f\u00fcr August 2021 (siehe z.B. Patchday: Windows 10-Updates (10. August 2021)<\/a>) hat Microsoft das PrintNightmare-Problem so gefixt, dass bei der Point-and-Print-Druckerinstallation Administratorrechte erforderlich werden. Das gr\u00f6\u00dfte Problem: Bei manchen Druckern l\u00e4uft es, ohne weitere Administratoreingriffe, bei anderen Druckern muss der Druckertreiber aktualisiert werden – was Administratorrechte erfordert. Ein Nutzer kommentiert<\/a> das hier im Blog so:<\/p>\n
Ich habe bei einem Kunden auch seit den August-Updates das Problem, dass auf einigen Clients der Kyocera Druckertreiber aktualisiert werden muss und daf\u00fcr Admin-Rechte erforderlich sind. Am Printserver gab es au\u00dfer den MS-Updates keine \u00c4nderung. Betrifft allerdings nicht alle Clients. Warum, ist mir leider nicht klar.<\/p><\/blockquote>\n
Dieser Kommentar<\/a> best\u00e4tigt dies bei Ricoh-Druckern. In den Kommentaren zum Blog-Beitrag Patchday: Windows 10-Updates (10. August 2021)<\/a> wird das Thema auch diskutiert. Microsoft hat diese \u00c4nderung im Verhalten bei der Druckertreiberinstallation im Blog-Beitrag Point and Print Default Behavior Change<\/a> angesprochen.<\/p>\n
In diesem Spiceworks-Thread<\/a> thematisiert jemand die Probleme, Druckertreiber per Script zu installieren. Dort gibt ein Benutzer in diesem Kommentar<\/a> an, dass sie das Problem umgehen, indem derselbe universelle HP-Treiber auf den Druckserver f\u00fcr alle Schwarzwei\u00dfdrucke verwendet wird.\u00a0 Da die Clients den Druckertreiber bereits installiert haben, erhalten Benutzer keine Eingabeaufforderung, wenn sie andere Drucker hinzuf\u00fcgen. F\u00fcr jeden Farbdrucker werden wir Druckereintr\u00e4ge, \"PrinterName\" und \"PrinterName-Color\", auf dem Druckserver erstellt, wobei der eigentliche Treiber f\u00fcr dieses Druckermodell in der Version -Color verwendet wird.<\/p>\n
Susan Bradley erw\u00e4hnt in diesem ComputerWorld-Artikel<\/a> dass eine der L\u00f6sungen darin besteht, sicherzustellen, dass in einem Netzwerk V4-Druckertreiber installiert sind. Weitere Erkl\u00e4rungen finden sich im betreffenden Artikel.<\/p>\n
Hinweise eines Blog-Lesers<\/h3>\n
Blog-Leser Rendic Z. schrieb mir Mitte August 2021 per E-Mail, dass er bei allen Kunden Updates installiert habe. Bei einigen Kunden kommt auf dem Terminal Server (Citrix) die Meldung bei KB5005043 (Server 2016), das die Treiber aktualisiert werden m\u00fcssen:.<\/p>\n
\"Druckertreiber-Warnung\"<\/p>\n
Es ist eine Administratorbest\u00e4tigung erforderlich (siehe obiger Screenshot) und nachfolgendes Bild zeigt die zu aktualisierenden Drucker.<\/p>\n
\"Druckertreiber-Installation\"<\/p>\n
Der Leser schreibt: Bei einigen Kunden hat geholfen, noch mal den Drucker als Admin auf dem TS zu verbinden, es kam auch die Frage \u00abTreiber Installieren\u00bb wie bei den Usern. Bei einigen Kunden mussten wir den HP PCL6 Universal Treiber aktualisieren, von PCl 6 5.8 auf 7.0, neu verbinden auf TS ging nicht, war aber nat\u00fcrlich nach neuem Treiber wieder notwendig einmal zu verbinden.\u00a0Es gab im Nachhinein deswegen viel Support Aufwand und es sollte vorher auf eine neuere HP Universal Treiber Aktualisiert werden, sonst k\u00f6nnen die Mitarbeiter nicht Ausdrucken.\u00a0Scheinber betrifft es auch Lokale PC's ohne Citrix.<\/em><\/p>\n
Drucker werden nicht mehr verbunden<\/h3>\n
In den Kommentaren hier<\/a> und hier<\/a> beschreiben Blog-Leser, dass Drucker nach Anwendung des letzten Sicherheitsupdate f\u00fcr August 2021 nicht mehr verbunden werden.<\/p>\n
Bei uns werden neue Drucker nur \u00fcber GPO Verbunden wenn der REG Eintrag RestrictDriverInstallationToAdministrators<\/em> auf 0 ist auf dem Client nach dem August Update.<\/p><\/blockquote>\n
Die Dokumentation des oben im Kommentar genannten Registrierungseintrags findet sich im Microsoft-Beitrag KB5005652 How to manage new Point and Print default driver installation behavior<\/a>. Dazu hei\u00dft es:<\/p>\n
Windows Updates, die am 10. August 2021 und h\u00f6her ver\u00f6ffentlicht wurden, erfordern standardm\u00e4\u00dfig Administratorrechte, um Treiber installieren zu k\u00f6nnen. Wir haben diese \u00c4nderung im Standardverhalten vorgenommen, um das Risiko auf allen Windows-Ger\u00e4ten zu minimieren, einschlie\u00dflich Ger\u00e4ten, die keine Punkt- und Druck- oder Druckfunktionen verwenden. Standardm\u00e4\u00dfig k\u00f6nnen Benutzer ohne Administratorberechtigungen die folgenden Optionen nicht mehr mithilfe von Punkt und Drucken ausf\u00fchren:<\/p>\n