Windows Druckserver Exploit – Print Nightmare (gefixt)

Updates verfügbar: 07.07.2021

Microsoft hat außerplanmäßig das Update KB5004945 und andere Updates bereitgestellt. Stand 8.7. auch für Server 2016 und alte Windows 10 Versionen. Diese schließen die Lücke. Die Updates werden allerdings nur für alle Produkte, die noch nicht „end of life“ sind, unterstützt (auch wenn in der Liste Fixes für ältere Betriebssysteme gelistet werden). Windows 7 PCs und Server 2008 R2 bleiben damit grundsätzlich ungeschützt, es sei denn man hat das ESU (extended Support Abo) gebucht. Auf diesen Systemen sollte kein Druckdienst gestartet sein. Wer Sitzungsdrucker unter RDP oder Citrix über den Windows Druckserver auf Server 2008 R2 Basis betreibt, sollte jetzt erst recht über eine Cloud Migration (bei IaaS Installation auf Azure 2019 Servern) nachdenken. Denn dort werden in der Regel nur Betriebssysteme eingesetzt, die aktuell bzw im erweiterten Support sind.

Zusätzlich wichtig (weil sich die Lücke sonst trotz Patches ausnutzen lässt):

In der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint sicherstellen, dass die folgenden Einträge nicht vorhanden – standardmäßig der Fall – beziehungsweise deaktiviert sind:

  • NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhanden
  • UpdatePromptSettings = 0 (DWORD) oder nicht vorhanden

In allen Betriebssystemen (für Clients und Server) steckt eine neue , die bisher noch nicht geschlossen wurde. Betroffen sind alle Server und auch PCs und Notebooks, wo der Dienst „Druckwarteschlange“ gestartet ist. Damit kann ein Angreifer ohne Adminrechte schadhafte Bibliotheken und Schadcode in das System schleusen (und ausführen). Microsoft stuft die Lücke als kritisch ein und empfiehlt den Druckspooler (Druckwarteschlange) Dienst zu deaktivieren – was nicht zielführend ist. Schließlich kann dann nicht mehr über den Server gedruckt werden.
Update: Mittlerweile hat Microsoft die Lücke als kritisch auf einer Skala von 1 bis 10 mit 8.1 eingestuft. Mit einem offiziellen Patch ist nicht vor nächstem Dienstag, dem Juli-Patchday 2021 zu rechnen.

Möglicher Workaround (Sysko in Eigenverantwortung)

Es gibt aber auch einen Workaround, der den Zugriff auf den Druckserver sperrt. Damit soll weiterhin gedruckt werden können. Möchte man eine Konfigurations-Änderung am Druckserver vornehmen (also zum Beispiel einen neuen Drucker installieren oder eine Einstellung ändern), muss man die Änderung wieder zurücknehmen. Das Ganze gilt, solange bis Microsoft einen Notfall Patch liefert.

Die benötigten (administrativen) Powershell-Skripte hier (Benutzung auf eigenes Risiko, Nebenwirkungen sind nicht ausgeschlossen)

$Path = "C:\Windows\System32\spool\drivers"

$Acl = (Get-Item $Path).GetAccessControl('Access')

$Ar = New-Object  System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny")

$Acl.AddAccessRule($Ar)

Set-Acl $Path $Acl

und zum Deaktivieren der Sperre:

$Path = "C:\Windows\System32\spool\drivers"

$Acl = (Get-Item $Path).GetAccessControl('Access')

$Ar = New-Object System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny")

$Acl.RemoveAccessRule($Ar)

Set-Acl $Path $Acl

Fix for PrintNightmare CVE-2021-34527 exploit to keep your Print Servers running while a patch is not available

Fabio Viggiani, Blog-Artikel

Funktionsweise eines Angriffs

Im Prinzip stehen einem Angreifer an jedem Gerät Angriffspunkte zur Verfügung, wo der Druckerwarteschlangen Dienst läuft. Das ist ab Werk auf allen Windows Clients – unabhängig von der Version der Fall und auf Druckservern. Wie ein Angreifer diese Geräte erreicht, steht auf einem anderen Blatt – meistens indem er Benutzer in Mails oder Webseiten auffordert, auf irgendwas zu klicken. Das angeklickte Schadprogramm wird dann im Benutzerkontext ausgeführt und greift als erstes alle Systeme an, wo der Druckdienst läuft. Hier werden dann Schadprogramme injiziert und verschlüsseln zB alle Daten.

Bis zum Patchday bzw. bis ein Fix zur Verfügung steht, ist es also eine Risikoabwägung, ob man den Workaround nutzt und nachher wieder deaktiviert (auch hier können Nebenwirkungen entstehen) oder das Risiko eingeht, dass etwas eingeschleust wird.

Support: Nein

Dieser Artikel soll Sie über diese kritische Sicherheitslücke informieren. Bitte haben Sie dafür Verständnis, dass wir den Workaround nicht in Ihrem Auftrag auf all Ihren Systemen für Sie ausführen werden. Erfahrene Systemkoordinatoren müssen selbst abschätzen, inwieweit die Möglichkeit für sie Sinn macht und können dann eigenverantwortlich tätig werden.

Zusammenfassung
  1. Zusätzlich wichtig (weil sich die Lücke sonst trotz Patches ausnutzen lässt): In der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint sicherstellen, dass die folgenden Einträge nicht vorhanden – standardmäßig der Fall - beziehungsweise deaktiviert sind: NoWarningNoElevationOnInstall = 0 (DWORD) oder nicht vorhandenUpdatePromptSettings = 0 (DWORD) oder nicht vorhanden In allen #Windows Betriebssystemen (für Clients und Server) steckt eine neue #Sicherheitslücke, die bisher noch nicht geschlossen wurde.
  2. Das ist ab Werk auf allen Windows Clients - unabhängig von der Version der Fall und auf Druckservern.
  3. Betroffen sind alle Server und auch PCs und Notebooks, wo der Dienst "Druckwarteschlange" gestartet ist.
Verwandte Beiträge
Kategoriebild

WSUS stirbt ausMicrosoft hat nun die Windows Server Update Services auf die Liste der „veralteten Produkte“ gesetzt. Das bedeutet, dass keine Weiterentwicklung

Über den Autor:
Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor und über 33 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

1 Gedanke zu „Windows Druckserver Exploit – Print Nightmare (gefixt)

  1. Windows Druckserver Exploit – Print Nightmare (gefixt)

    Inzwischen gibt es auch diesen KB-Artikel. Microsoft hat für für verschiedene Windows-Versionen zum 6. Juli 2021 ein Sonderupdate freigegeben. Diese werden über Windows Update, WSUS und den Microsoft Update Catalog verteilt.

    KB5004955: Monthly Rollup Update for Windows Server 2008 SP2
    KB5004959: Security only Update for Windows Server 2008 SP2
    KB5004953: Monthly Rollup Update for Windows Server 2008 R2 SP1
    KB5004958: Security only Update for Windows Server 2008 R2 SP1
    KB5003667: Monthly Rollup Update for Windows 7 SP1
    KB5004951: Security only Update for Windows 7 SP1
    KB5003671: Monthly Rollup Update for Windows Server 2012 R2
    KB5003681: Security only Update for Windows Server 2012 R2
    KB5004954: Monthly Rollup Update for Windows 8.1
    KB5004958: Security only Update for Windows 8.1
    KB5004950: Cumulative Update for Windows 10 (RTM)
    KB5004947: Cumulative Update for Windows 10 Version 1809, Windows Server 2018 / 2019
    KB5004946: Cumulative Update for Windows 10 Version 1909, Windows Server 1909
    KB5004945: Cumulative Update for Windows 10 Version 2004 – 21H1 und Windows Server 2004

    https://www.borncity.com/blog/2021/07/07/notfall-update-schliet-printnightmare-schwachstelle-in-windows/

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert