inf1d3l
Goto Top

Patch PrintNightmare

Na super: https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows- ...

Microsoft has fixed the PrintNightmare vulnerability in the Windows Print Spooler by requiring users to have administrative privileges when using the Point and Print feature to install printer drivers.

Zum Glück (?) gibt es den HP Universal Treiber, lol.

Content-ID: 1142569754

Url: https://administrator.de/contentid/1142569754

Ausgedruckt am: 22.11.2024 um 02:11 Uhr

dertowa
dertowa 10.08.2021, aktualisiert am 11.08.2021 um 13:07:16 Uhr
Goto Top
Na da lassen wir uns mal überraschen, geht nun dann wohl nur noch mit Adminberechtigungen:
https://support.microsoft.com/de-de/topic/kb5005652-manage-new-point-and ...
Erstmal testen morgen was MS da gebastelt hat.

Edit:
Also Tatsache, man hat hier über die Registry einen Riegel reingehauen, so dass Druckertreiber nur noch von Administatoren installiert oder aktualisiert werden dürfen.
Dieser Registryschlüssel setzt auch alle GPOs außer Kraft.
Das ist ja mal total lästig.
Damit war es das mit jeder sucht sich den Drucker den er will auf dem System das er gerade benutzt und installiert den einfach per Doppelklick.

Mit Typ 4 - Treibern scheint das kein Problem zu sein, 90% unserer Drucker (OKI, Kyocera, Brother, TSC, Lexmark, Epson) haben aber noch Typ 3 und wollen daher die Dateien aufs System kopieren. face-sad

Nun muss man dann wohl entscheiden ob man den Registryschlüssel wieder umbiegt oder ob der Benutzer nun bei jedem Drucker der sich am System nicht installieren lässt nen Anruf/Ticket eröffnet...
Thomas2
Thomas2 12.08.2021 um 09:17:41 Uhr
Goto Top
Moin moin,

wie bindet ihr den Typ3 Treiber jetzt bei einem Terminaluser ein? Ich kann das Druckerfenster nicht als Admin öffnen, die Systemsteuerung auch nicht. Ich sehe gerade keine Option, den Drucker einzubinden.

Gruß,
Thomas
StefanKittel
StefanKittel 12.08.2021 um 09:37:06 Uhr
Goto Top
Moin,
ja ganz super.
Bei einem Kunden mit Kopiermonster dürfen nun fast alle User beim 1. Drucker Administratorzugangsdaten eingeben. Oder besser wir müssen das machen, da die keine eigene IT haben.

Danke MS.
Es ist in der Tat viel sicherer wenn die User über lokale Zugangsdaten verfügen...

Stefan
Thomas2
Thomas2 12.08.2021 um 09:46:56 Uhr
Goto Top
Hi,

ich habe das Problem erstmal umgangen, indem ein Regkey auf dem Terminal Server erstellt wurde:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators (dword32 = 0).

Öffnet die Lücke wieder, aber die Kollegen können wenigstens Drucken.
Wahrscheinlich muss ich die GPO konfigurieren, sodass ein Prompt erscheint, wenn Drucker eingebunden werden.

Gruß,
Thomas
dertowa
dertowa 12.08.2021 um 14:50:31 Uhr
Goto Top
Zitat von @Thomas2:
ich habe das Problem erstmal umgangen, indem ein Regkey auf dem Terminal Server erstellt wurde:

Öffnet die Lücke wieder, aber die Kollegen können wenigstens Drucken.

Wie im von mir verlinkten Supportbeitrag von Microsoft gelistet bin ich nur froh, dass es diesen Registrykey nun gibt.
Ich habe bei Brother schon mal ein Ticket eröffnet ob man da Typ 4 Treiber erhalten kann...
Ansonsten habe ich mit dem Registrykey auch die Einschränkung zum passenden Printserver verteilt, steht auch im Artikel:
Zulassen, dass Benutzer nur eine Verbindung mit bestimmten Paketpunkt- und Druckservern herstellen, denen Sie vertrauen

Das schränkt es in meinen Augen auch noch mal ausreichend ein.
NetzwerkDude
NetzwerkDude 19.08.2021 um 08:36:03 Uhr
Goto Top
Zitat aus:
https://support.microsoft.com/en-gb/topic/kb5005652-manage-new-point-and ...

"Important There is no combination of mitigations that is equivalent to setting RestrictDriverInstallationToAdministrators to 1."

Man muss sich halt bewusst sein das das recht schnell ins repertoire der 08/15 Ransomware Gruppen reinkommt face-sad
dertowa
dertowa 19.08.2021 um 19:34:25 Uhr
Goto Top
Zitat von @NetzwerkDude:
"Important There is no combination of mitigations that is equivalent to setting RestrictDriverInstallationToAdministrators to 1."

Man muss sich halt bewusst sein das das recht schnell ins repertoire der 08/15 Ransomware Gruppen reinkommt face-sad

Und?
Dann ist immernoch nur die Druckereinbindung von einem gewissen Servernamen erlaubt (sofern man das auf gewisse Printserver im Unternehmen beschränkt).

Ich sehe das Problem irgendwie nicht.
NetzwerkDude
NetzwerkDude 19.08.2021 um 20:16:57 Uhr
Goto Top
Scheinbar sieht es aber MS so, sonst würden Sie den Schritt nicht gehen - ggf. kann man den Server spoofern der in der beschränkung steht? Also quasi als exploit chain
ingrimmsch
ingrimmsch 20.08.2021 um 11:41:08 Uhr
Goto Top
Moin zusammen,
gestern Nacht habe ich unsere 5 Terminalserver und unseren Printserver geupdatet und zack heute Morgen sind die ersten Probleme bzgl. Drucker aufgetreten.

Ich habe als Workaround nun erstmal den Registry Eintrag gesetzt:

reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /f  

Natürlich hat sich Microsoft dabei was gedacht aber der produktive Betrieb muss nun erstmal weiter laufen...

Irgendwie geht es mir wie dem Benutzer "dertowa"... Ich sehe das Problem irgendwie ebenfalls nicht so richtig.

Unser Printserver (kein DC) hat "außer bei Updates" keine Internetverbindung. Außerdem sind alle Ports von extern nach intern zu.
Im kompletten Netzwerk hat niemand lokale Administratorrechte. SPAMs, Macrodateinen, Exe Dateien etc. werden durch unsere Virenscanner / Firewall von vornerein abgeblockt.

Mich würde mal interessieren wie diese 08/15 Ransomware Gruppen somit Zugriff bekommen könnten.
Das einzige wäre aus meiner Sicht ein infizierter USB Stick oder tatsächlich eine schädliche Mail die beim Benutzer ankommt.
Eure Einschätzung würde mich mal interessieren und wie ihr diese Druckerproblematik angeht.
dertowa
dertowa 20.08.2021 um 13:59:17 Uhr
Goto Top
Zitat von @NetzwerkDude:

Scheinbar sieht es aber MS so, sonst würden Sie den Schritt nicht gehen

Natürlich und Microsoft ist hier definitiv im Zugzwang, denn nach wie vor scheint die Lücke ja nicht 100% dicht.
Es läuft aber alles immer darauf hinaus (wenn ich das bisher richtig gesehen habe), dass eine Datei kompromittiert wird und dies über Druckertreiber erfolgen kann da diese ohne Adminrechte installiert werden.
Dadurch findet die Verteilung dann statt und läuft auf den Clients als Admin.

Dafür muss die kompromittierte "Software" aber erstmal auf den Printserver gelangen, oder einer angesteuert werden dürfen der so vorbereitet wurde und sich über das Internet ansteuern lässt.

Es mag sicherlich Szenarien geben, aber ich stehe eben auch auf der anderen Seite und dort bedeutet der Grundsatz für die Mitarbeiter:
- Heute hier morgen dort
Also keine festen Drucker wenn man so will, Universaltreiber waren schon mal angedacht bei dem ersten Druckerchaos 2019?
Die sind für unsere Modelle aber irgendwie so schlank, dass die Kollegen damit riesig Probleme hatten ihre Einstellungen zu treffen.

Ich lass mich gern überzeugen was das Risiko angeht, aber bislang sehe ich das noch nicht so recht. face-sad