radiogugu
Goto Top

PrintNightmare CVE-2021-1675

Nabend zusammen.

Microsoft lässt momentan nichts anbrennen, was Sicherheitslücken anbelangt:

https://www.borncity.com/blog/2021/07/01/poc-fr-windows-print-spooler-sc ...

Auch interessant, dass die Lücke wohl aus Versehen bekannt gemacht wurde und aktuell nur ein Workaround Abhilfe schafft.

Freut sicher alle, deren DC leider auch Print Server ist face-sad

Gruß
Marc

Content-ID: 877109086

Url: https://administrator.de/knowledge/printnightmare-cve-2021-1675-877109086.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

clSchak
clSchak 01.07.2021 um 22:46:52 Uhr
Goto Top
joar, mal sehen was unsere Niederlassung morgen so reporten, die GPO zu deaktvieren des SpoolerService sind fast alle durch :c
radiogugu
radiogugu 01.07.2021 um 22:48:35 Uhr
Goto Top
Wäre eine irrwitzige Geschichte, wenn so das papierlose Büro erzwungen würde face-smile

Gruß
Marc
StefanKittel
StefanKittel 02.07.2021 um 00:44:44 Uhr
Goto Top
Das wird ja für KMUs lustig die nur einen Server haben der sowohl AD-, DNS-, DHCP-, File- und Print-Server ist.
Da bleibt dann nur hoffen oder nicht drucken sowie warten auf einen Patch.
VGem-e
VGem-e 02.07.2021 um 06:35:42 Uhr
Goto Top
Moin,

also wenn ich die Empfehlungen im INet querlese und den Workaround konsequent anwende, gehen halt keine Zahlungsaufforderungen, Rechnungen etc. per Papier auf die Reise??!!

Gruß
radiogugu
radiogugu 02.07.2021 um 08:01:28 Uhr
Goto Top
Zitat von @VGem-e:
Moin,
also wenn ich die Empfehlungen im INet querlese und den Workaround konsequent anwende, gehen halt keine Zahlungsaufforderungen, Rechnungen etc. per Papier auf die Reise??!!

Das ist wohl jetzt die Realität bis El Patchó kommt und die Misere (erstmal) behebt.

Gruß
Marc
Looser27
Looser27 02.07.2021 um 08:12:24 Uhr
Goto Top
Freut sicher alle, deren DC leider auch Print Server ist

Der DC muss nicht mal PrintServer sein. Es reicht schon, wenn der Spooler läuft (und das ist default so).
Ich habe gerade mal die nicht benötigten Spooler deaktiviert.

Gruß

Looser
radiogugu
radiogugu 02.07.2021 um 08:51:02 Uhr
Goto Top
Zitat von @Looser27:
Freut sicher alle, deren DC leider auch Print Server ist

Der DC muss nicht mal PrintServer sein. Es reicht schon, wenn der Spooler läuft (und das ist default so).
Ich habe gerade mal die nicht benötigten Spooler deaktiviert.

Damit sind beispielsweise all die Exchange Server, welche aus dem Internet her erreichbar sind, erneut zu einem (lohnenswertem) Angriffsziel geworden.

Gruß
Marc
Looser27
Looser27 02.07.2021 um 08:55:20 Uhr
Goto Top
Ich verstehe einfach nicht, warum Microsoft hier nicht die Installationsroutine für Server ändert.
Analog zu Linux erhält man nur ein Minimalsystem in das man dann die gewünschten Pakete nachinstallieren muss.

Damit wären über 90% mit den MS-Kisten aus der Welt und müßten nicht ständig nachgebessert werden.
radiogugu
radiogugu 02.07.2021 um 09:34:51 Uhr
Goto Top
Zitat von @Looser27:
Ich verstehe einfach nicht, warum Microsoft hier nicht die Installationsroutine für Server ändert.
Analog zu Linux erhält man nur ein Minimalsystem in das man dann die gewünschten Pakete nachinstallieren muss.

Damit wären über 90% mit den MS-Kisten aus der Welt und müßten nicht ständig nachgebessert werden.

Hörst du auch die unzähligen Hände auf die Stirn von MS Entwicklern klatschen?

"Ja Mensch, so was geht? 😮 Wieso sind wir da nicht früher drauf gekommen 🤦‍♂️."

Gruß
Marc
Th0mKa
Th0mKa 02.07.2021 um 12:35:08 Uhr
Goto Top
Zitat von @Looser27:

Ich verstehe einfach nicht, warum Microsoft hier nicht die Installationsroutine für Server ändert.
Analog zu Linux erhält man nur ein Minimalsystem in das man dann die gewünschten Pakete nachinstallieren muss.

Damit wären über 90% mit den MS-Kisten aus der Welt und müßten nicht ständig nachgebessert werden.

Server Core gibts doch schon ewig, da ist der Print Spooler im Default auch aus.

Zitat von @StefanKittel:

Das wird ja für KMUs lustig die nur einen Server haben der sowohl AD-, DNS-, DHCP-, File- und Print-Server ist.
Da bleibt dann nur hoffen oder nicht drucken sowie warten auf einen Patch.

Wer so'ne eierlegende Wollmilchsau hat macht aus Sicherheitssicht und Best Practice aber schon länger was falsch.

/Thomas
Looser27
Looser27 02.07.2021 um 12:37:37 Uhr
Goto Top
Server Core gibts doch schon ewig, da ist der Print Spooler im Default auch aus.

Das muss auch mit GUI gehen.

Wer so'ne eierlegende Wollmilchsau hat macht aus Sicherheitssicht und Best Practice aber schon länger was falsch

Nannte man früher SBS.
Th0mKa
Th0mKa 02.07.2021 um 12:44:26 Uhr
Goto Top
Zitat von @Looser27:
Das muss auch mit GUI gehen.
Warum? Die Nutzer von AD, DHCP, File und Print brauchen keine GUI auf dem Server. Und der Admin braucht sie dank RSAT und Powershell auch nicht.
Nannte man früher SBS.
Na da ist die letzte Version vor ~10 Jahren released worden, irgendwann kann man dann ruhig mit der Zeit gehen.
Looser27
Looser27 02.07.2021 um 13:01:58 Uhr
Goto Top
Warum? Die Nutzer von AD, DHCP, File und Print brauchen keine GUI auf dem Server. Und der Admin braucht sie dank RSAT und Powershell auch nicht.

Du vergisst leider die ganzen KMUs und Kleinstunternehmen, bei denen die IT vom Chef oder einem nicht gelerntern MA mitgemacht wird (oder werden muss).
Th0mKa
Th0mKa 02.07.2021 um 13:06:17 Uhr
Goto Top
Zitat von @Looser27:
Du vergisst leider die ganzen KMUs und Kleinstunternehmen, bei denen die IT vom Chef oder einem nicht gelerntern MA mitgemacht wird (oder werden muss).

Nein die vergesse ich nicht, die RSAT Tools sind ja die gleichen wie auf einem GUI Server. Und ganz ehrlich, ich repariere mein Auto ja auch nicht selbst nur weil ich Kleinunternehmer bin, wenn ich davon keine Ahnung habe.
Looser27
Looser27 02.07.2021 um 13:09:27 Uhr
Goto Top
Und ganz ehrlich, ich repariere mein Auto ja auch nicht selbst nur weil ich Kleinunternehmer bin, wenn ich davon keine Ahnung habe.

Und wenn kein Geld für den Dienstleister da ist, machen sie es doch selber....merkst Du was? Wir drehen uns im Kreis.... face-wink
Th0mKa
Th0mKa 02.07.2021 um 13:28:47 Uhr
Goto Top
Zitat von @Looser27:
Und wenn kein Geld für den Dienstleister da ist, machen sie es doch selber....merkst Du was?
Dann machen sie es halt selbst, der Invest von (viel) Zeit ist ja auch ok.

Wir drehen uns im Kreis.... face-wink
Nur du...
SOlangsam
SOlangsam 02.07.2021 um 17:45:37 Uhr
Goto Top
Hi,
das ist doch ein anderes Thema.
Hier geht es doch um die Sicherheitslücke.

Diese kann übrigens vorübergehend geschlossen werden, falls man den Print Server unbedingt benötigt:
Fix for PrintNightmare CVE-2021-34527 exploit to keep your Print Servers running while a patch is not available
O-Marc
O-Marc 02.07.2021 um 19:54:29 Uhr
Goto Top
Hi,

ich habe diesen von SOlangsam verlinkten Workaround für Print Server heute ausprobiert. Man muss lediglich vor dem Anlegen neuer Drucker einmal die Änderung rückgängig machen. Für das Ändern von Einstellungen an bestehenden Druckern war das nicht nötig.

Jetzt suche ich noch eine Lösung für Terminal Server. Da nützte mir der o.g. Workaround nichts, weil bei jedem Anmelden eines User dessen Netzwerkdrucker verbunden werden und das ging mit dem Workaround grundsätzlich schief.

Microsoft empfiehlt ja, per GPO die eingehenden Netzwerkverbindungen zum Spooler zu deaktivieren:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

Bei uns dürfen User keine Druckertreiber hinzufügen, sondern nur die, die auf dem Druckserver vorhanden bzw. im Image des Terminal Server sind.
Ich vermute, das schwächt die Printer Nightmare-Lücke auch schon ab.
Weiß da jemand mehr?
SOlangsam
SOlangsam 02.07.2021 um 20:35:31 Uhr
Goto Top
Hi O-Marc,

ich schätze da werden wir auf einen Patch von MS warten müssen. Da sind sie in der Pflicht. Das ist lediglich ein Workaround, um lediglich das Drucken nicht gänzlich zu verbieten.
Die GPO sorgt dafür der PrintJob vom lokalen System akzeptiert und alles von remote verworfen wird.
dertowa
dertowa 02.07.2021 aktualisiert um 21:07:31 Uhr
Goto Top
Jetzt mal langsam damit auch ich hinterher komme.
Der Druckspooler soll auf dem/den Domaincontroller/n deaktiviert werden da diese Schwachstelle dort wirken kann.
Auf Core-Servern ist der Druckspooler aus (soweit auf meinen Server 2019 Core DCs schon mal gut).
Habe ich also einen separaten Printserver der die Freigaben der Drucker verwaltet bin ich auch sicher, auch wenn dieser den Druckspooler aktiv hat?

Mein 2019 Essentials daheim stellt mir auch Drucker im Haus zur Verfügung, da kann ich ihn nicht deaktivieren, außer ich
installiere die Drucker noch mal auf den Clients - irgendwie fraglicher Aufwand das Ding hängt ja nicht am Internet...?

Zudem gibt es dazu auf den Newsseiten schon wieder diverse Empfehlungen und jeder will der erste sein und mehr dazu wissen.
Einerseits wird behauptet man ist sicher wenn die Nutzer keine Druckertreiber installieren dürfen (aber was hat das mit den DCs zu tun)?
Andererseits ist dann auch von Clientverbindungen und Sperrung per GPO die Rede... (Bsp.)

Hier noch ein Verweis auf GitHub zu der CVE: klick

Also scheinbar gibt es diverse Ansätze, welchen verfolgt man nun?

P.S.: Dann freue ich mich ja schon, dass zum nächsten Patchday die Kyocera Drucker alle wieder nicht mehr funktionieren. :D :D
SOlangsam
SOlangsam 02.07.2021 um 23:05:55 Uhr
Goto Top
Hi dertowa,


Zitat von @dertowa:

Jetzt mal langsam damit auch ich hinterher komme.

Kein Problem. Am besten sollte man den Printserver auf dem DC deaktivieren bzw. sichern, wenn man ihn nicht benötigt. Hintergrund ist, dass es möglich sei dass Fremde durch den Dienst auf's System gelangen und dann ebenfalls Zugriff auf den DC besitzen.
Beim Core, wie du schon richtig festgestellt hast, scheint dieser wohl standardmässig deaktiviert zu sein.

Diese Umsetzung gilt pro Computer (bzw. Server oder VM), es sei denn du machst es über die GPO deiner Domäne.


Zitat von @dertowa:

Mein 2019 Essentials daheim stellt mir auch Drucker im Haus zur Verfügung, da kann ich ihn nicht deaktivieren, außer ich
installiere die Drucker noch mal auf den Clients - irgendwie fraglicher Aufwand das Ding hängt ja nicht am Internet...?

Dann brauchst du nichts unternehmen.

Zudem gibt es dazu auf den Newsseiten schon wieder diverse Empfehlungen und jeder will der erste sein und mehr dazu wissen.
Einerseits wird behauptet man ist sicher wenn die Nutzer keine Druckertreiber installieren dürfen (aber was hat das mit den DCs zu tun)?
Andererseits ist dann auch von Clientverbindungen und Sperrung per GPO die Rede... (Bsp.)

Da Fremde Zugriffs aufs System des Printserver zugreifen könnten, hätten sie ggfs. Zugiff auf die Domäne. Der DC kann dich bei der Verteilung der passenden GPO unterstützen (wie oben bereits geschrieben).

Also scheinbar gibt es diverse Ansätze, welchen verfolgt man nun?

Es kommt darauf an, wie viele Rechner du betreust und ob du Printserver überhaupt benötigst.
Dazu kommt, ob in einer Domäne oder Workgroup.
dertowa
dertowa 02.07.2021 um 23:20:02 Uhr
Goto Top
Zitat von @SOlangsam:
Es kommt darauf an, wie viele Rechner du betreust und ob du Printserver überhaupt benötigst.
Dazu kommt, ob in einer Domäne oder Workgroup.

Hey,
also Domainumgebung und damit in die Richtung:
  • DCs Spooler aus (wenn nicht zwingend nötig) klar
  • GPO auf die Clients ausrollen (deaktivieren von "Annahme von Clientverbindungen zum Druckspooler zulassen" in Computerkonfiguration / Administrative Vorlagen / Drucker) - Spooler muss danach noch mal neugestartet werden

Aber letztlich hilft das ja nichts gegen das Einschleusen kompromittierter Dateien.
Somit noch mal die Gelegenheit die Mitarbeiter zu sensibilisieren.
SOlangsam
SOlangsam 02.07.2021 um 23:39:27 Uhr
Goto Top
Also zusammengefasst:

Um das Drucken weiterhin zu unterstützen (Abschaltung nicht möglich) ..
  • über den von mir geposteten Blog gehen. Und das Skript über alle Printserver laufen lassen.
  • verhindert, dass jemand versucht, Dateien oder Ordner der Drucker zu modifizieren.

Druck generell verbieten bzw. keine Notwendigkeit
  • ganz klar -> Spooler aus!

Druck weiterhin benötigt, aber nur an direkt angebundene Drucker (kein Remotedruck möglich)
  • über GPO gehen
dertowa
dertowa 03.07.2021 aktualisiert um 20:43:39 Uhr
Goto Top
Zitat von @SOlangsam:
Um das Drucken weiterhin zu unterstützen (Abschaltung nicht möglich) ..
  • über den von mir geposteten Blog gehen. Und das Skript über alle Printserver laufen lassen.
  • verhindert, dass jemand versucht, Dateien oder Ordner der Drucker zu modifizieren.

Druck generell verbieten bzw. keine Notwendigkeit
  • ganz klar -> Spooler aus!

Jap klar soweit und unproblematisch, aber letztlich ist jeder Client irgendwie auch ein Printserver,
auch wenn da nur ein PDF Drucker läuft oder eben die Drucker vom Printserver angesteuert werden.
Damit ist dort auch ein Risiko zu sehen und wenn das Skript auf den Clients ausgeführt würde,
dann können sich die Kollegen keinen Drucker mehr hinzufügen - keine Lösung. :/

Wenn ich dann hier lese:
Nach erster Reaktion gegen Print Nightmare keine GPO basierten Druckermappings mehr möglich
kann das spannend werden.
leon123
leon123 06.07.2021 um 14:11:48 Uhr
Goto Top
Mal ne Frage....

Mit dieser GPO auf die Clients ausrollen (deaktivieren von "Annahme von Clientverbindungen zum Druckspooler zulassen" in Computerkonfiguration / Administrative Vorlagen / Drucker) - Spooler muss danach noch mal neugestartet werden

Drucker die über den Printserver gehen, funktionieren dann auf den Clients nicht mehr?
Funktioniert die GPO zum verteilen der Drucker noch?
Th0mKa
Th0mKa 07.07.2021 um 00:35:10 Uhr
Goto Top
dertowa
dertowa 07.07.2021 um 09:07:46 Uhr
Goto Top
Zitat von @Th0mKa:

mit Update.

Dann geben wir das mal auf den Clients und dem Printserver frei, alles andere was noch ne GUI hat, hat nun keinen aktiven Spooler mehr.
SOlangsam
SOlangsam 07.07.2021 um 10:47:00 Uhr
Goto Top
Wie erhofft, hat MS die Lücke eindämmen können. Es soll trotzdem noch ein passender Patch kommen.
Bin gespannt.
Th0mKa
Th0mKa 07.07.2021 um 10:54:59 Uhr
Goto Top
Zitat von @SOlangsam:

Wie erhofft, hat MS die Lücke eindämmen können. Es soll trotzdem noch ein passender Patch kommen.
Bin gespannt.

Das ist die Ankündigung des Patches, man kann (und sollte) ihn installieren.

/Thomas
SOlangsam
SOlangsam 07.07.2021 um 11:08:20 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @SOlangsam:

Wie erhofft, hat MS die Lücke eindämmen können. Es soll trotzdem noch ein passender Patch kommen.
Bin gespannt.

Das ist die Ankündigung des Patches, man kann (und sollte) ihn installieren.

Laut CVE ist das nicht für Windows 10 Version 1607, Windows Server 2016 und Windows Server 2012.
Da soll noch etwas kommen.
dertowa
dertowa 07.07.2021 um 12:49:04 Uhr
Goto Top
Zitat von @SOlangsam:

Laut CVE ist das nicht für Windows 10 Version 1607, Windows Server 2016 und Windows Server 2012.
Da soll noch etwas kommen.

Was denn?
Ich mein ich sync nicht alles, nur das was auch im Einsatz ist, aber hier mal 2012 R2 bis 2019 & Clients:
cve
SOlangsam
SOlangsam 07.07.2021 um 13:37:05 Uhr
Goto Top
Zitat von @dertowa:

Zitat von @SOlangsam:

Laut CVE ist das nicht für Windows 10 Version 1607, Windows Server 2016 und Windows Server 2012.
Da soll noch etwas kommen.

Was denn?
Ich mein ich sync nicht alles, nur das was auch im Einsatz ist, aber hier mal 2012 R2 bis 2019 & Clients:

Habe es ebenfalls aus den CVE.
2021-07-07 13_32_38-window
leon123
leon123 07.07.2021 aktualisiert um 15:36:43 Uhr
Goto Top
Die 2012er Server bieten mir KB5004954 an und die Windows 10 Rechner KB5004945

Aber die 2016er zeigen mir noch nichts an...
Th0mKa
Th0mKa 08.07.2021 um 01:11:43 Uhr
Goto Top
Zitat von @leon123:

Die 2012er Server bieten mir KB5004954 an und die Windows 10 Rechner KB5004945

Aber die 2016er zeigen mir noch nichts an...

Mittlerweile sind die Patches für alle OS Versionen im Artikel verlinkt, sollten dann also auch über die Updatekanäle verfügbar sein.

/Thomas.
leon123
leon123 08.07.2021 um 09:27:22 Uhr
Goto Top
Gestern Abend war bei mir noch nichts da, heute erhalte ich auf den 2016er das Update KB5004958.
Trommel
Trommel 08.07.2021 um 15:01:44 Uhr
Goto Top
Moin,

wir mussten das Update deinstallieren. Die Zebra Ettikettendrucker haben das nicht vertragen.

Viele Grüße
Trommel
Delta9
Delta9 08.07.2021 um 15:19:53 Uhr
Goto Top
Zitat von @Trommel:

Moin,

wir mussten das Update deinstallieren. Die Zebra Ettikettendrucker haben das nicht vertragen.

Viele Grüße
Trommel

Welche treiber hast du denn? wir haben hier einige Zebra's mit dem Treiber von Nicelabel im Einsatz und keine Probleme mit dem Patch
leon123
leon123 08.07.2021 um 15:36:52 Uhr
Goto Top
Wir haben auch Nicelabel und Zebra... Ein Drucker machte erst Probleme... Treiber Neuinstallation und 2x Neustarten dann gings wieder. Auch so ein Elton Drucker machte kurzzeitig Probleme.
radiogugu
radiogugu 09.07.2021 um 07:19:19 Uhr
Goto Top
Bei uns ließen sich drei Windows 10 Test Clients (2004) und ein Server 2019 Standard (1809) nicht aktualisieren.

Auch ein manuelles Herunterladen aus dem Update Catalog brachte nicht den Erfolg.

Hier muss wohl noch einmal nachgebessert werden seitens Microsoft.

Gruß
Marc
dertowa
dertowa 09.07.2021 aktualisiert um 12:12:38 Uhr
Goto Top
Zitat von @radiogugu:
Bei uns ließen sich drei Windows 10 Test Clients (2004) und ein Server 2019 Standard (1809) nicht aktualisieren.

Hatten diese ggf. das letzte kumulative Update von 06/2021 auch noch nicht installiert?
Habe das Problem (0x80242017) bei einem 20H2 der noch auf einem alten Stand ist Build .870. ;)

Da fehlt dann einfach das aktuelle SSU, welches ja eigentlich in den kumulativen Updates drin ist.
In den out-of-band Updates scheint das nicht so. Habe bei dem System das Juni-Update manuell
nachgeholt da WSUS das natürlich nicht mehr für den Client anbietet.

Denn in der Updateinfo von Juni steht:
Prerequisite:
For Windows Server Update Services (WSUS) deployment:
Install the May 11, 2021 update (KB5003173) before you install the latest cumulative update.

For offline Deployment Image Servicing and Management (DISM.exe) deployment:
If an image does not have the February 24, 2021 (KB4601382) or later cumulative update, install the January 12, 2021 SSU (KB4598481) and the May 11, 2021 update (KB5003173).

Also: https://www.catalog.update.microsoft.com/Search.aspx?q=KB5003173
radiogugu
radiogugu 09.07.2021 um 13:06:27 Uhr
Goto Top
@dertowa danke für den Hinweis !

Konnte nach der KB5003173 Installation das CU7/2021 ganz normal installieren.

Da merkt man die Nadel bei Microsoft wird immer heißer, wenn ein Cumulative Update nicht das ist, was der Name hergibt.

Gruß
Marc
dertowa
dertowa 09.07.2021 um 13:20:54 Uhr
Goto Top
Nun ja, dafür gibt es ja die Dokus. ;)
Zudem mit den Systemen einfach up-to-date bleiben und schon läuft das auch.

Nee im ernst, als es die SSUs noch einzeln gab war das unkompliziert, denn auch wenn das folgende LCU kein SSU brauchte wurde das zuletzt veröffentlichte noch parallel installiert und es gab keine Probleme.

Allerdings hat mich die Lösung hier auch nur wenige Minuten Recherche gekostet und ich wurde zudem noch beim Hersteller des Updates mit dem Hinweis versorgt, also es könnte auch viel schlimmer sein. :P