PrintNightmare ohne Ende? Neue CVE von MS veröffentlicht

Mitglied: VGem-e
Moin Kollegen,

eben hier https://www.borncity.com/blog/2021/08/12/windows-printnightmare-neue-run ... und https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958 gesehen, dass dieser "Spuk" offenbar immer noch Sicherheitsprobleme verursacht...

In diesem Sinne:
Bleibt wachsam!

Gruß

Nachtrag: auch unter https://www.heise.de/news/PrintNightmare-Schon-wieder-eine-Drucker-Lueck ... zu finden!

Nachtrag 2:
War auch hier im Forum unter https://administrator.de/forum/patch-printnightmare-1142569754.html schon genannt!

Content-Key: 1148360881

Url: https://administrator.de/contentid/1148360881

Ausgedruckt am: 23.09.2021 um 10:09 Uhr

Mitglied: 149062
149062 12.08.2021 aktualisiert um 14:18:29 Uhr
Goto Top
Moin.
Ist eigentlich ganz einfach: Drucker fachgerecht entsorgen und nicht mehr drucken :-) face-smile. Die User gewöhnen sich dann ganz schnell dran und schont in erster Linie die Umwelt. MS hilft nur dabei das papierlose Büro schneller realität werden zu lassen und leistet damit unfreiwillig einen großen Umweltbeitrag :-D face-big-smile.

/evo
Mitglied: mossox
mossox 12.08.2021 um 14:35:07 Uhr
Goto Top
EIne Frage hierzu:

Verstehe ich es richtig, dass ein potenzieller Angreifer aber zunächst Zugriff auf das lokale Netzwerk erlangen muss?

Oder ist der Zugriff auch über irgendwelche Webexploits möglich?

Ich frage weil hier der Druckspoolerdienst lediglich noch auf dem Terminalserver aktiviert ist.
Und der hängt nicht direkt am Internet.
Mitglied: VGem-e
VGem-e 12.08.2021 um 14:42:25 Uhr
Goto Top
Servus,

bis uns war/ist an allen Servern, ausgenommen derjenige als Printserver, die Druckerwarteschlange inzwischen bis auf weiteres deaktiviert.
Ansonsten müßten wir wirklich aufs papierlose Büro wechseln.

Gruß
Mitglied: dertowa
dertowa 12.08.2021 um 15:49:09 Uhr
Goto Top
Richtig, sollte auch hier weitergehen: https://administrator.de/forum/patch-printnightmare-1142569754.html
Oder einfach mal zusammenführen und mit eindeutigem Titel versehen. ;)

Zitat von @VGem-e:
dass dieser "Spuk" offenbar immer noch Sicherheitsprobleme verursacht...

Sicherheitsproblem ist das eine, auf der anderen Seite wird Microsoft das in meinen Augen nicht 100%ig in den Griff bekommen, außer man zwingt die Druckerhersteller dazu die Treiber nach Typ 4 zu veröffentlichen.
Diesen Weg hat man aber ich meine 2020 schon mal versucht und ist gescheitert.
PrintNightmare wird also zum Covid19 der IT-Welt.
Mitglied: VGem-e
VGem-e 12.08.2021 um 16:20:34 Uhr
Goto Top
Servus,

als Nachtrag oder Anfrage; wo sehe ich denn, welcher Drucker vom Type 4 ist?
Wollen uns einen Kyocera TaskAlfa 5053ci o.ä. als neuen Netzwerkdrucker zulegen und laut INet ist dies kein top aktuelles und neu vertriebenes Gerät?

Oder steckt hier wieder ein "Glaubens-", besser Wirtschafts-"Krieg" dahinter, zumindest für mich der Eindruck, siehe etwa https://forum.golem.de/kommentare/applikationen/windows-10-microsoft-ver ..?

Na ja, der 2. Kommentar in diesem Post sagt eigentlich alles oder nichts für mich https://forum.golem.de/kommentare/applikationen/windows-10-microsoft-ver ....

Gruß
Mitglied: dertowa
dertowa 12.08.2021 um 16:59:20 Uhr
Goto Top
Schau dir vorab die Druckertreiber vom jeweiligen Hersteller an, lade diesen herunter und füge ihn am Printserver hinzu.
Das System gibt dir dann den Typ des Treibers aus (die Spalte kann man sich einblenden).
server
Mitglied: TomTomBon
TomTomBon 12.08.2021 aktualisiert um 22:34:47 Uhr
Goto Top
Moin
Kyo und die Tochter Hersteller haben Type 4 Treiber.

Die sind nur nicht beliebt.
Die kommen aus der Welt des XPS Treibers.
Sie sind sehr "komisch", sind nicht wie gewohnt und im Verhältnis zu den Kyo MiniTreibern MEHR als träge :-) face-smile
Der Kopf wird immer größer ;-) face-wink

Nur sehe Ich nicht was der Typ 4 für eine Lösung hier ist.
Bei dem BSOD ok, weil es ein ganz anderer Typ ist.
Aber die Minitreiber waren auch nicht immer betroffen.

Aber hier?
Hier ist das Problem aus meiner Sicht ein Ausnutzen "falscher" Organisation.


ICH habe es so verstanden das Nightmare eigentlich aus 2 Aspekten besteht:

  • Man kann, wenn keine entsprechenden Hürden vorhanden sind (Firewall, nicht die von MS..) einen beliebigen, erreichbaren Drucker auf der ganzen Welt einbinden
  • Durch Point&Print wird der Treiber der Freigabe genommen und eingebunden. Man braucht keine Adminrechte.
  • Da die Treiber aber auf Systemniveau implementiert werden, sind sie gefährlich. Und ist in der Source, die der lokale Admin dann nicht verwalten kann, eine gefährliche DLL drinnen zB... Ist es DLL Hi-Jacking.

Bitte korrigieren wenn Ich falsch liege!!!


Meine Meinung dazu
  • Punkt 1 ist für mich ein No-Go, das in Firmen Netzen Etwas ins Internet kann außerhalb vom Browsen (Mail ist ein eigenes System)
  • Allerdings sind die Leute im Home-Office so schwerst schützbar.

Es gibt sehr gute SocialAttack die vorgaukeln:
" Bitte binden sie unseren neuen Drucker ein. Dazu gehen sie einfach auf folgenden Link...
Ihre lokale IT"

Ich kenne IT Abteilungen die das wirklich so machen, die Drucker so einzubinden.
Und wenn man dann den Rest des Link sich nicht anschaut / wie sehr viele keinen Plan davon hat...

Ich habe auch ein paar Firmen kennengelernt die darauf aufbaut das der Anwender sich so die Drucker selbst nehmen den sie brauchen.



PS:
Ich habe jetzt auch den Fall gehabt das durch das Update das Flash entfernt plötzlich Drucken mit Kyo Druckern nicht mehr ginge.
Das Update wieder zurück gezogen, Drucken ging.
In einer Citrix Umgebung.
Was hat das jetzt mit Irgendwelchen Drucker Treibern primär zu tun?





Schönen Abend noch
Mitglied: TomTomBon
TomTomBon 12.08.2021 um 22:02:41 Uhr
Goto Top
Hier kann man für einen einigermaßen aktuellen MFP den Typ 4 Treiber holen.
Der ist universal einsetzbar für Drucker der letzten 10 Jahre

https://www.kyoceradocumentsolutions.com/download/model_de.html?r=42& ...
Mitglied: TomTomBon
TomTomBon 12.08.2021 um 22:27:46 Uhr
Goto Top
Hier Uni Treiber der Kyo Tochter Triumph Adler / Utax

PCL 6 Driver [Mini Driver]
Version: 3.10
Microsoft certified
https://www.utax.com/C125712200447418/vwLookupDownloads/PCL6_UniDriver_V ...$FILE/PCL6_UniDriver_V310_cCD_cLP_20170630.zip

PCL 5 Driver [Mini Driver]
Version: 3.10
Microsoft certified
https://www.utax.com/C125712200447418/vwLookupDownloads/PCL5_UniDriver_V ...$FILE/PCL5_UniDriver_V310_cCD_cLP_20170703.zip

Classic Post Script Driver [KPDL Driver]
Version: 3.10
Microsoft certified
https://www.utax.com/C125712200447418/vwLookupDownloads/KPDLminiDriver_c ...$FILE/KPDLminiDriver_cCD_cLP_20170713.zip


Typ 4 Treiber:

KX XPS Driver
Version: 5.0.1120
Microsoft certified
https://www.utax.com/C125712200447418/vwLookupDownloads/KXv4Driver_V5011 ...$FILE/KXv4Driver_V501120_20200511.zip
Mitglied: TomTomBon
TomTomBon 12.08.2021 um 22:28:49 Uhr
Goto Top
Die Links sind zwar *** markiert, aber der Link der unten im Status angezeigt wird ist korrekt
Mitglied: dertowa
dertowa 12.08.2021 um 22:39:14 Uhr
Goto Top
Zitat von @TomTomBon:

Moin
Kyo und die Tochter Hersteller haben Type 4 Treiber.

Die sind nur nicht beliebt.

Kann ich bestätigen, die habe ich schon mal getestet da ist niemand mit warm geworden.

In meinen Augen lösen die Typ 4 aber das aktuelle Einbinden in Bezug auf die Adminrechte.

Am Testsystem mit aktivem aktuellen MS Patch könnte ich die Typ 3 nicht ohne Admin Prompt installieren, die HP Typ 4 waren kein Thema.
Mitglied: mossox
mossox 13.08.2021 um 11:38:09 Uhr
Goto Top
Zitat von @dertowa:

Schau dir vorab die Druckertreiber vom jeweiligen Hersteller an, lade diesen herunter und füge ihn am Printserver hinzu.
Das System gibt dir dann den Typ des Treibers aus (die Spalte kann man sich einblenden).
server

Ich bin zu blöd.
Wie bzw. wo komme ich zu dieser Übersicht??
Mitglied: 149062
149062 13.08.2021 aktualisiert um 11:54:25 Uhr
Goto Top
Wie bzw. wo komme ich zu dieser Übersicht??
printmanagement.msc
Mitglied: 7Gizmo7
7Gizmo7 24.08.2021 um 13:36:03 Uhr
Goto Top
Hallo zusammen,

hat es jemand hinbekommen, wenn die Treiber im Image vorhanden sind, diese auch verwendet werden ?

"Wenn Sie RestrictDriverInstallationToAdministrators je nach Ihrer Umgebung als nicht definiert oder auf 1 festlegen, müssen die Benutzer Drucker mit einer der folgenden Methoden installieren:

Fügen Sie die erforderlichen Druckertreiber in das Betriebssystembild ein.

Das ist bei uns der Fall, wenn die Drucker per aber per GPO verbunden werden, werden die lokalen Treiber nicht verwendet.

MfG
Mitglied: TomTomBon
TomTomBon 24.08.2021 um 17:05:30 Uhr
Goto Top
Hier ist ein thread wie jemand die Treiber per Powershell verbreitet.

https://www.tutorials.de/threads/netzwerkdrucker-mit-powershell-verteile ...


Davon einmal abgesehen.
Ich habe gerade mit Benutzer authentifizierung von einem Server 2016 die Druckerfreigabe gemountet.
Kein Problem.
Er fragt zwar ob ich den Drucker klassisch einbinden will über Name/IP und treiber auswahl,
drucker einbinden

Ich bin aber einfach auf den S2016 mit der Freigabe gegangen und habe den Drucker ausgewählt.
Kein Problem.
Ich habe den alten v3 Treiber genommen, wie auch den v4 XPS und PCL Treiber
Mitglied: TomTomBon
TomTomBon 25.08.2021 um 09:06:31 Uhr
Goto Top
Was Ich vergaß
Das sind beides voll gepatchte Testsystem
Die KB wurden extra installiert, die REG ist gesetzt.
Mitglied: dertowa
dertowa 26.08.2021 um 21:51:59 Uhr
Goto Top
Zitat von @TomTomBon:
Die KB wurden extra installiert, die REG ist gesetzt.

Wenn du den Registry-Eintrag setzt sind es eigentlich gar nicht mehr so richtig vollgepatchte Systeme. :D
Mitglied: TomTomBon
TomTomBon 27.08.2021 um 08:25:37 Uhr
Goto Top
Wenn Ich es händisch setze auf 0 oder 1 hast du vollkommen Recht.

Falsche Wortwahl, bite verzeih ;-) face-wink

Ich wollte damit ausdrücken das der REG Eintrag durch den Patch auf 1 gesetzt war/ist.
:-) face-smile
Heiß diskutierte Beiträge
question
Unternehmensnetzwerk aufbauenbluelightVor 1 TagFrageNetzwerke12 Kommentare

Moin zusammen, erstmal vielen Dank an der Stelle, dass mir beim letzten mal so super geholfen wurde! Aktuelle Situation: -> 5 VMs bei Netcup -> ...

question
Netzwerkdosen verbindenR3nN1979Vor 1 TagFrageInternet7 Kommentare

Hallo, Ich ziehe bald um, und benötige dabei Hilfe, wie ich Netzwerkdosen miteinander verbinden kann. Habe überhaupt keine Ahnung davon, aber mir kann jemand von ...

general
Endpoint AV für FirmenumgebungKauzigVor 1 TagAllgemeinErkennung und -Abwehr18 Kommentare

Hallo, aktuell bin ich am Suchen einer Endpoint AV für meine Firmenumgebung wichtig wäre mir ein zentrales Management sowie ggf. sogar ein Patch System. Aktuell ...

question
Ein Domänenbenutzer für alle MitarbeiterMarabuntaVor 19 StundenFrageWindows Userverwaltung6 Kommentare

Hi, ist es möglich/sinnvoll bzw. wie ist es lizenztechnisch, wenn es einen Domänen-Benutzer für alle Mitarbeiter(10) gibt, diese Benutzen eine Branchensoftware in der jeder eigene ...

question
Einarbeitung VPN und entsprechende RouterFrankNVor 1 TagFrageRouter & Routing8 Kommentare

Hallo zusammen, ich bin am Einarbeiten in das Thema VPN-Router. Ich suche ein Gerät, das es ermöglicht, ca. 50 VPN-Tunnel zu verwalten für eine Zentrale ...

question
Powershell Logon Script Problematikjoe2017Vor 1 TagFrageBatch & Shell19 Kommentare

Schönen guten Morgen, ich habe eine Frage an die Spezialisten hier. Denn ich bin gerade ratlos und am verzweifeln. Ich habe in meinem Domain Controler ...

question
Bewertung von Rechnern (Gewichtung von CPU, RAM und Festspeicher)SarekHLVor 1 TagFrageBenchmarks11 Kommentare

Hallo zusammen, ich habe hier eine Aufstellung verschiedener Rechner mit - Leistungsbewertung der CPU mit CPUMark (Quelle: - Größe Arbeitsspeicher - SSD oder HDD Wie ...

question
Was ist die beste Lösung für servergespeicherte Profile für 10 Rechner?Yan2021Vor 13 StundenFrageNetzwerke9 Kommentare

Hallo liebe Admin-User, in einem anderen Thread ging es um die Sicherung von Dienst-PCs per Image. Daraus entstand dann eine Diskussion über servergespeicherte Profile. Da ...