{"id":257713,"date":"2021-09-16T11:36:03","date_gmt":"2021-09-16T09:36:03","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257713"},"modified":"2024-03-31T20:23:00","modified_gmt":"2024-03-31T18:23:00","slug":"patchday-nachlese-sept-2021-neuer-printnightmare-fix","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/16\/patchday-nachlese-sept-2021-neuer-printnightmare-fix\/","title":{"rendered":"Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster"},"content":{"rendered":"

\"Windows\"[English<\/a>]Seit Monaten existieren in allen Windows-Versionen einer Reihe von Schwachstellen im Windows Print-Spooler-Dienst, die unter dem Begriff PrintNightmare zusammengefasst werden. Microsoft versucht, seit Juli 2021 vergeblich die Schwachstellen vollst\u00e4ndig zu schlie\u00dfen. Nach jedem Patch treten neue Probleme auf. Zum Patchday am 14. September 2021 gab es einen weiteren PrintNightmare-Fix, der aber wieder Probleme aufwirft. Hier ein kurzer \u00dcberblick zum Sachstand, der f\u00fcr einige Nutzer in ein Desaster ausartet, denn das Drucken klappt nicht mehr.<\/p>\n

<\/p>\n

Die PrintNightmare-Schwachstelle<\/h2>\n

\"\"Anfang Juli 2021 hatte ich im Blog-Beitrag PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a> erstmals \u00fcber die Schwachstelle CVE-2021-1675 im Windows Print-Spooler berichtet. Es handelt sich um einer Remote Code Execution (RCE) Schwachstelle, \u00fcber die ein Angreifer beliebigen Code mit SYSTEM-Rechten ausf\u00fchren k\u00f6nnte. Dies umfasst Programme zu installieren, Daten anzuzeigen, zu \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten zu erstellen.<\/p>\n

Microsoft versucht seit Anfang Juli 2021 die PrintNightmare-Schwachstelle durch Updates zu beseitigen (siehe Linkliste am Artikelende). Diese Versuche schlugen bisher aber fehl, die PrintNightmare-Schwachstelle wurde unvollst\u00e4ndig gepatcht. Zudem gibt es nach jedem Update andere Probleme, z.B. dass Druckertreiber zur Installation Administratorrechte ben\u00f6tigen. Die Linkliste am Artikelende fasst die Blog-Beitr\u00e4ge zum Thema zusammen. Ende August 2021 hatte ich im Blog-Beitrag Windows: PrintNightmare-Nachlese und Stand (27. August 2021)<\/a> den letzten Stand zusammen gefasst.<\/p>\n

September 2021-Patches f\u00fcr PrintNightmare<\/h2>\n

Zum 14. September 2021 hat Microsoft auch die PrintNightmare-Schwachstelle in seinen Sicherheitsupdates f\u00fcr Windows ber\u00fccksichtigt, auch wenn das nicht explizit in den Supportbeitr\u00e4gen erw\u00e4hnt wurde. Ich habe aber einen diesbez\u00fcglichen Sicherheitshinweis von Microsoft erhalten.<\/p>\n

CVE-2021-1678<\/p>\n

– Windows Print Spooler Spoofing Vulnerability
\n– CVE-2021-1678<\/a> – Version 2.0
\n– Reason for Revision: CVE updated to announce that Microsoft is releasing the
\nSeptember 2021 security updates for all affected versions of Windows to address
\nthis vulnerability. Additionally, other information has been updated, including
\nthe following: 1) The CVE title and impact have been changed to better reflect
\nthe vulnerability. 2) FAQs have been added. 3) Acknowledgement has been updated.
\n– Originally posted: January 12, 2021
\n– Updated: September 14, 2021<\/p>\n

CVE-2021-36958<\/p>\n

– Windows Print Spooler Remote Code Execution Vulnerability
\n– CVE-2021-36958<\/a>\u00a0 – Version 2.0
\n– Reason for Revision: CVE updated to announce that Microsoft is releasing the
\nSeptember 2021 security updates for all affected versions of Windows to address
\nthis vulnerability. Additionally, other information has been updated, including the
\nfollowing: 1) Executive Summary has been updated 2) Workarounds have been removed as
\nthey are no longer applicable 3) FAQs have been updated to reflect the release of the
\nSeptember 2021 security updates.
\n– Originally posted: August 11, 2021
\n– Updated: September 14, 2021<\/p>\n

Microsoft hat also zum 14. September 2021 neue Patches f\u00fcr die beiden oben aufgef\u00fchrten Schwachstellen freigegeben. Die Kollegen von Bleeping Computer haben in diesem Artikel<\/a> einen Abriss der Informationen gegeben. Benjamin Delpi best\u00e4tigt in diesem Tweet<\/a>, dass die von seinen Exploits verwendeten Schwachstellen nicht mehr funktionieren.<\/p>\n

\"PrintNightmare<\/a><\/p>\n

Delpy gab gegen\u00fcber BleepingComputer an, dass Microsoft die CopyFiles-Funktion standardm\u00e4\u00dfig deaktiviert habe. Das k\u00f6nnte die Erkl\u00e4rung sein, warum manche Druckertreiber nach dem Patch Probleme machen. Es gibt nun aber eine undokumentierte Gruppenrichtlinie, mit der Administratoren die CopyFiles-Funktion wieder aktivieren k\u00f6nnen. Dazu muss in der Windows-Registrierung unter dem Schl\u00fcssel:<\/p>\n

HKLM\\Software\\Policies\\Microsoft\\Windows NT\\Printers<\/p>\n

ein DWORD-Wert CopyFilesPolicy <\/em>hinzugef\u00fcgt und auf 1 gesetzt werden, damit CopyFiles wieder aktiviert ist. Laut Delpy kann diese Funktion dann trotzdem nur mit der Microsoft-Datei C:\\Windows\\System32\\mscms.dll verwendet werden.<\/p>\n

Druckprobleme durch den Patch<\/h2>\n

\u00c4hnlich wie bereits im August 2021 (siehe Windows: PrintNightmare-Nachlese und Stand (27. August 2021)<\/a>) scheinen die neuen Updates auch wieder Probleme bei Druckern zu verursachen. Nutzer Andreas berichtet hier<\/a> von streikenden Notbook-Druckern an Apple-Ger\u00e4ten an einem Windows Server 2019 PrintServer, was durch weitere Leser best\u00e4tigt wird. Blog-Leser Andreas Oberhof schreibt in diesem Kommentar<\/a> zum Artikel Patchday: Windows 10-Updates (14. September 2021)<\/a>:<\/p>\n

Druckerproblem nach September Update. Bei freigegebenen Druckern fehlen pl\u00f6tzlich an den Clients (win 10, aktuelles FU) die Treiber.
\nDruck ist nicht m\u00f6glich. Drucker entfernen ist nicht m\u00f6glich. Drucker hinzuf\u00fcgen nicht m\u00f6glich. Interessanterweise bestehen die Probleme auf einem Terminalserver in der gleichen Umgebung (auch gepatcht) nicht.
\nJemand eine Idee?<\/p><\/blockquote>\n

Blog-Leser Stefan best\u00e4tigt dieses Problem<\/a> auf einem Terminalserver. Blog-Leser Thomas beschreibt ein exotisches Problem<\/a>, dass beim Debuggen eines Druckertreibers den PC einfrieren l\u00e4sst – das Ganze ist hier beschrieben<\/a>. Auf mewe.com habe ich auf den Patchday-Beitrag folgende R\u00fcckmeldung erhalten:<\/p>\n

… das weitaus gr\u00f6\u00dfere Problem ist: in unserem Netzwerk k\u00f6nnen Test-Benutzer nun keine Drucker mehr verbinden und ben\u00f6tigen daf\u00fcr administrative Rechte. Rechtsklick unter W10 beim Printserver unter 2016 will dann Treiber holen und Peng<\/p><\/blockquote>\n

Im Forum von Bleeping Computer gibt es diesen Thread<\/a>, der sich um Druckprobleme bei Netzwerk-Druckern nach Installation von Update KB5005565 dreht. Und auf reddit.com ist mir dieser Thread<\/a> aufgefallen, wo Nutzer ebenfalls Probleme beim Drucken durch die Sept. 2021-Updates best\u00e4tigen. Auf reddit.com best\u00e4tigt dieser Thread<\/a> das Problem bei Drucker unter Windows Server 2012 R2 – und dieser reddit.com-Thread<\/a> beschreibt das Gleiche.<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen liegen mir eine Reihe Berichte von Betroffenen vor, die nicht mehr drucken k\u00f6nnen. Das tangiert alle m\u00f6glichen Drucker, selbst Zebra-Etikettendrucker sind darunter. Im Juli 2021 musste Microsoft sogar einen Patch per KIR zur\u00fccknehmen (siehe\u00a0Windows 10: Microsoft fixt Zebra-\/Dymo-Druckproblem KB5004945 per KIR<\/a>).<\/p><\/blockquote>\n

Was helfen k\u00f6nnte<\/h2>\n

In diesem Kommentar<\/a> zum Artikel Windows: PrintNightmare-Nachlese und Stand (27. August 2021)<\/a> schreibt Benjamin, dass es ihm mit den im Beitrag zusammen getragenen Hinweisen (V4-Treibern auf dem PrintServer ein zweites Mal eingerichten) gelungen sei, die streikenden Ger\u00e4te wieder zum Arbeiten zu bringen. Das d\u00fcrfte aber wohl nur in Einzelf\u00e4llen die Probleme beseitigen.<\/p>\n

Im Blog-Beitrag hatte ich auch erw\u00e4hnt, dass man die durch das August 2021-Update eingef\u00fchrten Admin-Berechtigungen zur Druckerinstallation per GPO zur\u00fccksetzen kann. Microsoft hat dies im Support-Beitrag KB5005652<\/a> beschrieben.<\/p>\n

Hilfe f\u00fcr Error 0x0000011b<\/h2>\n

Es klang ja oben im Text und in den Kommentaren an, bei Terminalservern wird bei der Druckerinstallation der Fehler 0x0000011b ausgel\u00f6st. Dazu schrieb mir Blog-Leser Markus K.:<\/p>\n

Printserver 2019 mit September CU und Client mit September CU resultieren beim Hinzuf\u00fcgen eines Druckers in Fehler 0x0000011b.<\/p>\n

L\u00e4\u00dft man den Printserver auf Stand August [2021] und patcht man nur den Client, funktioniert das Hinzuf\u00fcgen eines Druckers nur, wenn man zus\u00e4tzlich zur Point and Print Konfiguration die GPO:<\/p>\n

\"Package Point and print – Approved servers\" erg\u00e4nzt.<\/p>\n

Links dazu:<\/p>\n

bleepingcomputer.com<\/a>
\nreddit.com<\/a><\/p>\n

Wir konnten das Verhalten derzeit bei HP Druckern beobachten, ob andere Marken auch betroffen sind, kann ich derzeit nicht beurteilen. Das ganze artet in einen Schrecken ohne Ende aus.<\/p>\n

LG,
\nMarkus<\/p>\n

PS: https:\/\/docs.microsoft.com\/en-us\/windows-hardware\/drivers\/debugger\/bug-check-0x11b—driver-returned-holding-cancel-lock<\/a> Hilft halt leider auch nicht sonderlich weiter…<\/p><\/blockquote>\n

Danke an Markus K., vielleicht hilft es euch weiter.<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen hat Microsoft den Fehler best\u00e4tigt (siehe\u00a0Windows PrintNightmare: Microsoft best\u00e4tigt Probleme nach Sept. 2021-Update<\/a>). Zudem habe ich im Blog-Beitrag Windows September 2021-Update: Workaround f\u00fcr Druckprobleme<\/a> weitere Hinweise zusammengetragen, was man bei Problemen mit Druck-Servern noch versuchen kann.<\/p>\n

\u00c4hnliche Artikel<\/strong>
\nPoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a>
\nWindows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS best\u00e4tigt; CISA warnt<\/a>
\nNachlese: Das Chaos-PrintNightmare-Notfall-Update (6.\/7.Juli 2021)<\/a>
\nNotfall-Update schlie\u00dft PrintNightmare-Schwachstelle in Windows (6. Juli 2021)<\/a>
\nPrintNightmare-Notfall-Update auch f\u00fcr Windows Server 2012 und 2016 (7. Juli 2021)<\/a>
\nMicrosoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher<\/a>
\nWindows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)<\/a>
\nPrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien<\/a>
\nMicrosoft Defender for Identity kann PrintNightmare-Angriffe erkennen<\/a>
\n0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
\n0patch-Fix f\u00fcr neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)<\/a>
\nWindows PrintNightmare, neue Runde mit CVE-2021-36958<\/a>
\nRansomware-Gang nutzt PrintNightmare f\u00fcr Angriffe auf Windows Server<\/a>
\nVice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle f\u00fcr Angriffe<\/a>
\nMicrosofts macht bei PrintNightmare auf \u201eschlanker Fu\u00df\"<\/a>
\nWindows: PrintNightmare-Nachlese und Stand (27. August 2021)<\/a><\/p>\n

Patchday: Windows 10-Updates (14. September 2021)<\/a>
\nPatchday: Windows 8.1\/Server 2012-Updates (14. September 2021)<\/a>
\nPatchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (14. September 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Seit Monaten existieren in allen Windows-Versionen einer Reihe von Schwachstellen im Windows Print-Spooler-Dienst, die unter dem Begriff PrintNightmare zusammengefasst werden. Microsoft versucht, seit Juli 2021 vergeblich die Schwachstellen vollst\u00e4ndig zu schlie\u00dfen. Nach jedem Patch treten neue Probleme auf. Zum Patchday … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301,3694,2557],"tags":[68,8280,8273,24,4328,4315,3288],"class_list":["post-257713","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","category-windows-10","category-windows-server","tag-drucken","tag-patchday-9-2021","tag-printnightmare","tag-problem","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257713","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257713"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257713\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257713"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257713"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257713"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}