[English]Nach den Sonderupdates (z.B. KB5004945, KB5003690, KB5004760) vom 6. und 7. Juli 2021 zum Schließen der Schwachstellen im Print-Spooler-Dienst traten bei Systemen mit Etikettendruckern von Zebra und Dymo Druckprobleme auf – es ist keine Druckausgabe mehr möglich. Bisher blieb nur die Deinstallation des betreffenden Updates oder der Versuch, direkt per USB zu drucken. Auf Grund der Rückmeldungen hat Microsoft jetzt aber reagiert und einen Fix zur Korrektur dieses von KB5004945 verursachten Problems über die in Windows 10 ab Version 2004 vorhandene KIR-Funktion bereitgestellt.
Anzeige
Darum geht es bei Schwachstelle CVE-2021-1675
In allen Windows-Versionen gibt es die Remote Code Execution (RCE) Schwachstelle CVE-2021-1675 (sowie weitere Schwachstellen) im Windows Print-Spooler-Dienst. Diese Schwachstellen ermöglichen Angreifern beliebigen Code mit SYSTEM-Rechten auszuführen. Durch ein ungewollt veröffentlichtes Proof of Concept (PoC) gab es bereits erste Angriffe auf die Schwachstelle.
Ich hatte frühzeitig im Blog-Beitrag PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko über die Schwachstelle berichtet. Zum 6. und 7. Juli 2021 hat Microsoft dann auch außerplanmäßige Updates für die unterstützten Windows-Versionen freigegeben (siehe nachfolgende Artikel).
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Theoretisch stehen daher Sonderupdates zum Schließen der Remote Code Execution (RCE) Schwachstelle CVE-2021-1675 für alle unterstützten Windows-Versionen – einschließlich der Server-Pendants zur Verfügung.
Anzeige
Sonderupdates machen Probleme mit Zebra-/Dymo-Druckern
Problem bei diesem Ansatz ist allerdings, dass es jede Menge Kollateralschäden, angefangen von Installationsproblemen, über BlueScreens bis hin zu streikenden Druckern gibt. Ich hatte dies im Blog-Beitrag Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021) aufgegriffen und einen Überblick gegeben. Insbesondere Administratoren von Zebra- und Dymo-Etikettendruckern hatten das Problem, dass nach Installation der betreffenden Updates unter Windows 10 keine Druckausgabe mehr möglich war. Als Lösung sind mir zwei Optionen unter die Augen gekommen:
- Deinstallation des Sonderupdates, um wieder drucken zu können
- Betreiben des Etikettendruckers lokal am Client und ggf. versuchen, den Druckertreiber zu de- und dann neu zu installieren
Ob die zweite Lösung funktioniert, muss jeder Betroffene selbst ausprobieren. Blog-Leser Bolko hat in diesem Kommentar auf den Sachverhalt hingewiesen.
Windows 10-Fix per Known Issue Rollback (KIR)
Microsoft hat das Problem mit den Etikettendruckern vor wenigen Stunden sowohl im Windows 10 2004-21H1 Statusbereich als auch im Supportbeitrag zu KB5004945 mit einem eigenen Eintrag in den Know Issues bestätigt und schreibt im Statusbereich:
After installing KB5003690 or later updates (including out of band updates, KB5004760 and KB5004945), you might have issues printing to certain printers. Most affected printers are receipt or label printers that connect via USB.
Note This issue is not related to CVE-2021-34527 or CVE-2021-1675.
Interessant ist für mich vor allem der Hinweis, dass Microsoft schreibt, dass das Druckproblem nichts mit den durch die Sonderupdates beseitigten Schwachstellen zu tun habe. Das Problem geht also bis auf das Vorschau-Update KB5003690 vom 21. Juni 2021 zurück und wurde auch im Sonderupdate KB5004760 zur Korrektur von PDF-Problemen mitgeschleppt. Auch im Supportbeitrag zu KB5004945 heißt es in den Know Issues:
After installing this update, you might have issues printing to certain printers. Most affected printers are receipt or label printers that connect via USB.
Microsoft gibt Windows 10 Version 2004 bis 21H1 als Clients sowie die Windows Server Version 2004 und 20H2 als betroffen an. Sowohl im Windows 10 2004-21H1 Statusbereich als auch im Supportbeitrag zu KB5004945 gibt Microsoft bekannt, dass man eine Lösung habe:
This issue is resolved using Known Issue Rollback (KIR). Please note that it might take up to 24 hours for the resolution to propagate automatically to consumer devices and non-managed business devices. Restarting your Windows device might help the resolution apply to your device faster.
Das Problem wird unter Windows 10 automatisch durch ein Rollback des betreffenden Features über die KIR-Funktion gefixt. Das gilt aber nur für per Windows Update und Windows Update for Business aktualisierte Systeme (siehe folgende Anmerkung).
Anmerkung: Die Known Issue Rollback (KIR)-Funktion habe ich im Beitrag Windows 10 2004-20H2: Office Speicher- oder Medienfehler beim Dokument-Öffnen korrigiert beschrieben. Sie ermöglicht Microsoft ein Fixes bei festgestellten Problemen automatisch zurückzurollen. Dabei wird der problematische Fix deaktiviert und der gespeicherte vorherige Code wieder aktiviert, also nicht das gesamte Update deinstalliert. Viele Details lassen sich in diesem Microsoft-Beitrag nachlesen. Wichtig zu wissen ist aber, dass Microsoft KIR nur bei Problemen mit nicht sicherheitskritischen Updates einsetzt. Zudem steht KIR erst ab Windows 10 2004 zur Verfügung und wird auch nur bei Systemen verwendet, die über Windows Update oder Windows Update for Business Updates erhalten.
Auf verwalteten Systemen stellt Microsoft spezielle Gruppenrichtlinien für KIR bereit. Microsoft schreibt zu diesem Thema in der Lösung für die Know Issues:
For enterprise-managed devices that have installed an affected update and encountered this issue, it can be resolved by installing and configuring a special Group Policy. Note Devices need to be restarted after configuring the special Group Policy. For help, please see How to use Group Policy to deploy a Known Issue Rollback. For general information on using Group Policies, see Group Policy Overview.
Für verwaltete Systeme stellt Microsoft also über den obigen Link eine spezielle Gruppenrichtlinie bereit, um den Know Issue Rollback auszuführen. Details entnehmt ihr den verlinkten Beiträgen.
Ähnliche Artikel:
Patchday: Windows 10-Updates (8. Juni 2021)
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Deaktivierte Windows 10 Experiments blocken Known Issue Rollback (KIR)-Fixes
Windows 10 2004-20H2: Office Speicher- oder Medienfehler beim Dokument-Öffnen korrigiert
Anzeige
Schön, wieder extra Arbeit. Warum kann man den Fehler nicht einfach mit einem neuen/weiteren Update über den WSUS wieder beheben.
Hi,
in der GPO für WSUS wird nicht 21H1 erwähnt?
Oder läuft das mit 20H2/2004?
Sollten wir den Patchday abwarten oder Montag/Dienstag mit dem Käse rumfickeln?
Schönes Wochenende
Sebastian
Bei mir haben die Zebra/Godex entweder einen LAN Anschluss oder sind über einen Printserver angebunden. Geht bei Wts/VM nicht anders.
Heißt das es wird keine Probleme geben?
Neue saubere Patches wären mir wesentlich lieber.
Hoffentlich kommen die am nächsten Patchday.
Die oben verlinkte neue Gruppenrichtlinie für KIR
(Windows 10 (2004 & 20H2) Known Issue Rollback 070821 01.msi)
bezieht sich nur auf KB5003690 vom 21.6.2021 (Nicht-Sicherheitsrelevantes Update für Windows 10 21H1, 20H2 und 2004, Build 1904x.1081).
Alle anderen Systeme und Patches sind also von dem Zebra-Problem gar nicht betroffen.
Die "21H1" hat MS aber mal wieder im Dateinamen des GPO-MSI verschlampt (weggelassen, obwohl es mit rein gehört, da KB5003690 sich auf alle Build 1904x bezieht).
Da KB5003690 nur nicht-sicherheitsrelevante Updates enthält wird KIR das Problem beheben.
Da sich das KB5003690 nur auf Versionen ab Win10-2004 bezieht ist auf allen diesen OS auch KIR bereits vorhanden, also kein Problem.
Trotzdem ist PrintNightmare weiterhin nicht vollständig gefixt, wegen der Umgehungsmöglichkeit "\??\" und des weiterhin offenen lokalen Angriffsvektors.
Warum aber traten die Probleme mit Zebra- und Dymo-Druckern erst nach den PrintNightmare-Patches auf und nicht bereits nach KB5003690?
es wurde auch schon nach KB5003690 von Problem mit Zebra Druckern berichtet
Zu "Trotzdem ist PrintNightmare weiterhin nicht vollständig gefixt …"
Ich schreibe zum Samstag noch was. Laut Microsoft sind die ungefixten Schwachstellen bisher nicht ausgenutzt worden, solange Windows mit Standard-Einstellungen (ohne Point an Fix) betrieben wird.
Zebra ZM400 Drucker angesteuert über LAN über einen Windows 2012R2 Server.
Druckt nach Installation nachfolgender Updates nicht mehr korrekt. Die Ausdrucke sind verschoben und die Abrisskante wird nicht mehr korrekt angesteuert.
Folgende Updates wurden installiert:
KB5004954: Monthly Rollup Update for Windows 8.1, Windows Server 2012 R2
KB5004958: Security only Update for Windows 8.1, Windows Server 2012 R2
Dann sind die Löcher jetzt damit gestopft?( abgesehen von den Druckerproblemen)!
Bei Ihrem letzten Beitrag hieß es doch, das die Updates nur bedingt für PrinterNightmare helfen und man doch wieder drum herum kommt. Ist der aktuelle MS-Patch jetzt wirklich ein Fix oder nur Papier drüber legen und hoffen dass es nicht stinkt?
Auf diesem Weg aber ein Dickes Danke an Ihre Arbeit hier und sonst auch!
Gruß
Die Löcher sind gestopft – sofern das alles in Standardeinstellungen betrieben wird (also kein "Point and Print" per GPO falsch konfiguriert). Ich schreibe zum Wochenende noch einen Beitrag dazu.
Woran merke ich denn nun, ob KIR bereits angewendet wurde oder nicht (Win 10 Home 20H2).
Und wie verfährt man z.B. bei Win 7 (ohne KIR)? Hier einfach den Patchday am kommenden Dienstag abwarten?
Ok, das mit Win 7 hat sich erledigt.
Zitat: "Microsoft gibt Windows 10 Version 2004 bis 21H1 als Clients sowie die Windows Server Version 2004 und 20H2 als betroffen an."
In dem Artikel habe ich einen Registrierungseintrag angegeben, wo das Ganze verwaltet wird.
Ansonsten ist die Frage falsch gestellt.
a) Jemand ist nicht betroffen -> dann interessiert KIR nicht
b) Jemand ist betroffen -> 24 Std. warten, neu starten und schauen, ob es wieder funktioniert.
In verwalteten Umgebungen (also kein W10 Home) sind die GPOs, die MS bereitstellt, zu verwenden, um die Registrierungseinträge zu setzen.
Die Update-Größe von über 1/2 Gigabyte (GB) ist verdächtig.
https://www.catalog.update.microsoft.com/Search.aspx?q=KB5004945
Hallo miteinander,
nur nochmals zum Verständnis: mehrere unserer Rechner (Win 21H2) mit Zebradruckern an USB sind betroffen, ich musste das Update KB5004945 wieder deinstallieren damit wir wieder arbeiten konnten (Etiketten für Wareneingang …).
Wenn ich das mit KIR also richtig verstehe dann deaktiviere ich das Pausieren der Updatesuche, installiere erneut das KB5004945, boote den Rechner neu und warte darauf das KIR (vielleicht) von sich aus das Druckerproblem "innerhalb 24 Stunden" löst? Kann man den magischen KIR-Vorgang auch sonst irgendwie anstupsen damit es schneller geht – irgendwie ist 24 Stunden warten bei einem Arbeitsplatz welcher einen Wareneingang macht nicht so geschickt ?
Liebe Grüße
Uwe
@Born: zu deinem Lösungsansatz: "Betreiben des Etikettendruckers lokal am Client und ggf. versuchen, den Druckertreiber zu de- und dann neu zu installieren" -wenn ich es richtig verstehe sind nur die via USB angeschlossenen Zebra-Drucker betroffen, die via LAN angeschlossenen Drucker machen keine Probleme