{"id":257827,"date":"2021-09-20T10:58:22","date_gmt":"2021-09-20T08:58:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257827"},"modified":"2021-09-20T15:48:18","modified_gmt":"2021-09-20T13:48:18","slug":"windows-september-2021-update-workaround-fr-druckprobleme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/20\/windows-september-2021-update-workaround-fr-druckprobleme\/","title":{"rendered":"Windows September 2021-Update: Workaround für Druckprobleme"},"content":{"rendered":"

\"Windows\"[English<\/a>]Zum Patchday am 14. September 2021 hat Microsoft f\u00fcr die unterst\u00fctzten Windows-Systeme Sicherheitsupdates freigegeben, die auch weitere PrintNightmare-Schwachstellen beseitigen sollen. Diese Updates verursachen aber Probleme, so dass Netzwerkdrucker nicht mehr angesteuert werden k\u00f6nnen. In einigen F\u00e4llen k\u00f6nnte ein einfacher Workaround helfen, ohne dass das Sicherheitsupdate deinstalliert werden muss.<\/p>\n

<\/p>\n

Die PrintNightmare-Druckprobleme<\/h2>\n

\"\"Seit Anfang Juli 2021 sind Schwachstellen im Windows Print-Spooler \u00f6ffentlich, die eine Remote Code Execution (RCE) erm\u00f6glichen (siehe PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a>). Ein Angreifer k\u00f6nnte beliebigen Code mit SYSTEM-Rechten ausf\u00fchren. Dies umfasst Programme zu installieren, Daten anzuzeigen, zu \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten zu erstellen.<\/p>\n

Zum Patchday am 14. September 2021 gab es einen weiteren PrintNightmare-Fix, der aber wieder Probleme aufwirft. So k\u00f6nnen Drucker an Terminalservern oder Print-Servern nicht mehr drucken. Ich hatte im Blog-Beitrag Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster<\/a> bereits \u00fcber das Thema berichtet.<\/p>\n

Microsoft hat Ende letzter Woche die Probleme eingestanden und gibt den Ratschlag zur Druckertreiberaktualisierung, um wieder drucken zu k\u00f6nnen. Ich bin im Blog-Beitrag\u00a0 Windows PrintNightmare: Microsoft best\u00e4tigt Probleme nach Sept. 2021-Update<\/a> auf dieses Thema eingegangen. Falls die Aktualisierung der Druckertreiber nicht hilft, sollen Nutzer an die OEMs gehen und neue Treiber anfordern – leichter gesagt als getan.<\/p>\n

Ein Workaround ohne Update-Deinstallation<\/h2>\n

Als Konsequenz aus den Microsoft-Empfehlungen deinstallieren Administratoren die Sicherheitsupdates vom 14. September 2021, um die Drucker wenigstens zum Laufen zu bringen. Es gibt aber einen Ansatz, der ohne Deinstallation des Updates m\u00f6glichweise ebenfalls (tempor\u00e4rer) eine L\u00f6sung bringt.<\/p>\n

Erkl\u00e4rungen zum Hintergrund<\/h3>\n

Sicherheitsforscher Benjamin Delpy, der sich seit Monaten intensiv um das Thema PrintNightmare<\/em> k\u00fcmmert, hat auf Twitter einige Tweets<\/a> abgesetzt, die m\u00f6glicherweise etwas mehr licht in das Thema bringen.<\/p>\n

<\/p>\n

Seit l\u00e4ngere Zeit ist die Spoofing-Schwachstelle CVE-2021-1678<\/a> bekannt (im Januar 2021 hat Microsoft da was dazu ver\u00f6ffentlich, siehe auch meinen Blog-Beitrag Details zur Windows NTLM-Schwachstelle CVE-2021-1678 ver\u00f6ffentlicht<\/a>). Wie ich jetzt bei Benjamin Delpy herauslese, betrifft dies auch die Drucker-RPC-Bindung und die Authentifizierung f\u00fcr die Remote-Winspool-Schnittstelle.<\/p>\n

Microsoft hat \u00fcber Sicherheitsupdates im Januar 2021 und im September 2021 begonnen, diese Schwachstelle zu schlie\u00dfen. Dazu wurde ein neuer Registrierungseintrag festgelegt, \u00fcber den Administratoren die RPC-Authentifizierungsebene erh\u00f6hen oder erniedrigen konnte.<\/p>\n

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\Print<\/pre>\n
Wird der DWORD-Wert RpcAuthnLevelPrivacyEnabled=1<\/em> gesetzt, verschl\u00fcsselt Windows die RPC-Kommunikation mit den Netzwerkdrucker bzw. Druck-Servern. Diese Sicherheitsma\u00dfnahme wurde aber per Sicherheitsupdate in zwei Stufen ausgerollt:<\/p>\n