Windows PrintNightmare, neue Runde mit CVE-2021-36958

Windows[English]Noch ein kleiner Nachtrag vom August 2021-Patchday in Bezug auf die Print-Spooler-Dienst-Schwachstelle PrintNightmare. Microsoft hat zwar einen Patch herausgebracht, der die Schwachstelle beseitigen soll. Aber ich hatte bereits in meinen Blog-Beiträgen zum Patchday darauf hingewiesen, dass dieser Patch nicht ausreicht. Nun hat Microsoft zum 11.8.2021 eine neue CVE-2021-36958 (Windows Print Spooler Remote Code Execution Vulnerability) festgelegt.


Anzeige

Die Windows PrintNightmare-Schwachstelle

Seit Juli 2021 ist eine Schwachstelle im WindowsPrint-Spooler-Dienst bekannt, die eine Remote Code Execution (RCE) sowie u.U. eine Rechteauswertung ermöglicht. Microsoft versucht seit Anfang Juli 2021 diese, inzwischen mit dem Namen PrintNightmare benannte, Schwachstelle durch Updates zu beseitigen (siehe Linkliste am Artikelende). Aber nach jedem Patch weisen Sicherheitsforscher nach, dass die PrintNightmare-Schwachstelle unvollständig gepatcht wurde. Insbesondere die Point-and-Print genannte Funktion, über die Nutzer Druckertreiber installieren können, lässt sich für Angriffe missbrauchen.

Updates für August 2021 helfen nicht

Zum 10. August 2021 hat Microsoft für die noch unterstützten Windows-Versionen verschiedene Sicherheitsupdates veröffentlicht, in denen auch folgender Fix genannt wird:

Changes the default privilege requirement for installing drivers when using Point and Print. After installing this update, you must have administrative privileges to install drivers. If you use Point and Print, see KB5005652, Point and Print Default Behavior Change, and CVE-2021-34481 for more information.

Zum 10. August 2021 gab es auch den MSRT Blog-Beitrag Point and Print Default Behavior Change zum Thema sowie einen Support-Beitrag KB5005652 zu Point-and-Print, mit Hilfestellungen für Administratoren. Bereits in den nachfolgend verlinkten Blog-Beiträgen hatte ich aber darauf hingewiesen, dass die Point-and-Print-Schwachstelle vermutlich nicht vollständig gefixt ist.

Patchday: Windows 10-Updates (10. August 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (10. August 2021)
Patchday: Windows 8.1/Server 2012-Updates (10. August 2021)

Zweifel von Sicherheitsforschern

Denn Sicherheitsforscher Benjamin Delpy wies bereits in nachfolgendem Tweet darauf hin, dass er seinen Exploit in einer virtuellen Maschine mit einer auf dem aktuellen Patchstand befindlichen Windows 365-Installation mit Standard-Nutzerrechten ausführen kann.

PrintNightmare not fixed

Von seinem öffentlichen Netzwerk-Drucker werden dann Dateien nachgeladen. Die einzige Maßnahme, die er durchführen musste, bestand in der Deaktivierung des Defender (dieser kann einen Angriff über diese Schwachstelle erkennen).

PrintNightmare not fixed


Anzeige

Sicherheitsforscher Will Dormann schreibt in obigem Tweet, dass er nun Administrator-Berechtigungen für seinen Proof-of-Concept (PoC) für die Schwachstelle CVE-2021-36936 benötigt. Er verweist dann auf den Tweet von Delpy, der in der Lage war, von einem Standard-Konto SYSTEM-Rechte zu erlangen.

Blog-Leser Jonas beschreibt hier in einem Kommentar zu meinem Beitrag, dass die Installation neuer Treiber oder zum aktualisieren eines Drucker-Treibers Administrator-Berechtigungen benötigt.

Standardmäßig können Benutzer ohne Administratorberechtigungen die folgenden Schritte mit Punkt und Drucken nicht mehr ausführen:

-Installieren neuer Drucker mithilfe von Treibern auf einem Remotecomputer oder Server

– Aktualisieren vorhandener Druckertreiber mit Treibern von Remotecomputer oder Server

Als Quelle ist der Support-Beitrag KB5005652 zu Point-and-Print genannt. Das führt zu einer Diskussion hier im Blog, wo Blog-Leser wie Zanza  eigene Erfahrungen berichten. Er schreibt, dass er sich vom Printserver auch mit neuen Druckern verbinden könne, wenn der betroffene Treiber bereits lokal vorhanden ist. Auf Twitter habe ich eine Meldung gelesen, dass ggf. Dateien vom Remote Print-Server nachgeladen würden. Ich kann hier nichts testen, aber insgesamt ist es wohl eine ziemlich unbefriedigende Situation.

Ergänzung: Kevin Beaumont hat auf GitHub die Datei SystemNightmare.bat veröffentlicht. Damit bekommt ein Standardnutzer sofort SYSTEM-Privilegien auf allen supporteten Windows Systemen, solange die Schwachstelle offen ist.

PrintNightmare mitigation

Ergänzung 2: Benjamin Deply hat in obigem Tweet seine GitHub-Seite verlinkt. Dort gibt er Hinweise, wie dieser Angriffsvektor durch Registrierungseinträge etc. entschärft werden kann.

Microsoft veröffentlicht CVE-2021-36958

Den Kollegen von deskmodder.de ist im Tweet von Will Dormann aufgefallen, dass Microsoft zum 11. August 2021 eine neue CVE-2021-36958 (Windows Print Spooler Remote Code Execution Vulnerability) veröffentlicht hat. Dort heißt es:

A remote code execution vulnerability exists when the Windows Print Spooler service improperly performs privileged file operations. An attacker who successfully exploited this vulnerability could run arbitrary code with SYSTEM privileges. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

The workaround for this vulnerability is stopping and disabling the Print Spooler service.

Aktuell wird die Schwachstelle noch nicht ausgenutzt. Microsoft hat mal wieder den alten Workaround ausgegraben, und empfiehlt den Print-Spooler-Dienst zu stoppen und zu deaktivieren. PrintNightmare ist also noch nicht vorbei – und das in diesem Tweet gezeigte animierte GIF bringt die Patch-Versuche von Microsoft auf den Punkt.

Microsoft Patch attempts

Ähnliche Artikel
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher
Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien
Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)

Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server
Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle für Angriffe
Microsoft macht bei PrintNightmare auf "schlanker Fuß"

Patchday: Windows 10-Updates (10. August 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (10. August 2021)
Patchday: Windows 8.1/Server 2012-Updates (10. August 2021)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit PrintNightmare, Sicherheit, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

27 Antworten zu Windows PrintNightmare, neue Runde mit CVE-2021-36958

  1. Bernhard Diener sagt:

    Bei bwin stehen die Quoten schlecht dafür, dass es beim nächsten Patchday voll gelöst wird: 2,90:1
    Die Chancen, dass es jemals gelöst wird, werden nur geringfügig besser eingestuft!

  2. Andi sagt:

    Microsoft treibt einen in den Wahnsinn.
    Jetzt muss für sämtliche Druckerinstallationen vom Printserver ein Admin-Kennwort eingegeben werden.
    Dafür sollte eigentlich die GPO "Package Point and print – Approved servers" da sein.
    Obwohl meine Printserver dort als vertrauenswürdig eingetragen sind, verlangt die Drucker Installation Adminrechte.
    Wie habt ihr das gelöst?

    • ich sagt:

      Treiber z.B. per Powershell oder SCCM verteilen. Und im Image integrieren.
      Einzige Chance.

      • Christian sagt:

        also bei uns kommt dann immernoch der uac prompt und ich habe keine ahnung was ich machen soll.

        habe treiber über pnputil und add-printerdriver und über die mmc printer managment, add driver probiert. keine chance. jedesmal will er den treiber vom server installieren.

    • Andi sagt:

      Die GPO „Package Point and print – Approved servers" ist funktionslos.
      Mit der GPO "Point and Print Restrictions" habe ich "Users can only point and print to these servers:" aktiviert und dort die Print Server eingetragen.
      Dort kann die Adminabfrage deaktiviert werden.
      Reisst vermutlich auch wieder eine Lücke.

      • Mark Heitbrink sagt:

        Nein, diese Computerkonfiguration ist schon seit Windows 7 zu aktivieren, wenn es bei "miesen" Druckertreibern zu einer UAC Aufforderung kommt.

        Um diese zu unterdrücken, worden dort schon immer die Vertrauenswürdigen Druckerserver hinterlegt, oder die Richtlinie auf deaktiviert gesetzt, was nicht empfohlen ist.

        • Andi sagt:

          Hallo Mark,
          beziehst du dein "Nein" auf "reisst vermutlich eine Lücke" oder auf die GPO "Package Point and print – Approved servers"?
          Die ist bei mir wie gesagt funktionslos.
          Danke im Voraus.

  3. Volker sagt:

    Seit dem Patch heute Nacht werden bei mir einfach mal alle Drucker deinstalliert sofern man kein Admin ist. Kommt dann kurz die Meldung die Treiber müssen aktualisiert werden. Erst wenn man sich als Admin anmeldet kommen die Drucker wieder. :-(

    Soweit ich das sehen kann ist bei mir kein Point and Print im Einsatz (Habe keine Einträge in der Registry).

    Server 2012 R2

  4. MD sagt:

    Bei uns haben alle die P&P RegKeys gar kein Auswirkung. Betrifft das alle Druckertreiber oder nur bestimmt oder wie funktioniert das denn?

  5. Bernhard Diener sagt:

    Verteilt die Drucker so, dass es dabei nicht um Userrechte geht: weist sie per GPO den Computern zu.

    • Robert sagt:

      Keine gute Idee, jedenfalls für uns nicht, da einer unserer Kunden es wünscht, dass manche Drucker nur gewissen Usern zur Verfügung stehen und die wechseln öfters mal an einen anderen PC/Arbeitsplatz.

    • chriss sagt:

      Funktioniert bei dir die Einrichtung der Drucker per GPO (Computer) nach Installation des August Patches noch? Wir haben bisher die Drucker immer per GPP verbunden. Da das nach dem Patch nicht mehr funktioniert (Treiberinstallation), habe ich jetzt einmal die Variante via GPO getestet. Ohne August Patch funktioniert es, nach Installation des Patches nicht mehr.

  6. Marku23 sagt:

    Hi,

    Kann schon jemand sagen, ob bei diesem neue Bug weiterhin der Patch mit der DENY Regel auf dem Drivers-Verzeichnis ?
    Bisher hatte das gute Dienste erwiesen, weil es relativ problemlos blieb und alle bisherigen öffentlichen Angriffspunkte verhindert hatte ( Es gibt ja keine Schreibzugriff auf das drivers Verzeichnis mehr) …

  7. Manuel B. sagt:

    Das funktioniert mit dem aktuellen Update nicht mehr.
    Wir haben letzte Woche einen neuen Printserver (Server 2019) aufgesetzt, Drucker eingerichtet (Universaltreiber PCL6) und GPOs für Computer (nicht Benutzer) eingerichtet.
    Diese GPOs funktionieren mit dem CU2021-07, aber nicht mit dem CU2021-08.
    Dabei war allerdings auch egal, ob der angemeldete User lokaler Admin war oder nicht.

    Mit einstellen des Regkeys "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint RestrictDriverInstallationToAdministrators 0" können die Drucker dann wieder per GPO verteilt werden. Allerdings ist die Lücke dann natürlich wieder offen…

  8. Jascha sagt:

    Bei uns hat es sich so verhalten:
    Nach dem einspielen des Updates bekommen wir nun die Meldung "Neuer Treiber erforderlich". (Terminalserver)
    Drucken ist nicht mehr möglich, es kommt die "Treiber Installationsanfrage mit Adminrechten". Obwohl lokal die gleichen Treiber installiert sind…

  9. Luzifer sagt:

    naja das ist jetzt vielleicht die große Chance für das "Papierlose Büro" von dem man schon seit Jahrzehnten fabuliert!

  10. MD sagt:

    Im Grunde war es das dann für den Einsatz von printservern im Windows Domains, oder?

  11. techee sagt:

    hm, aber die Lücken demonstrieren doch eine Treiber Installation von einem Public Server. Wenn man jetzt per GPO die Point and Print einstellungen so setzt, dass die Clients nur vom internen Printserver installieren dürfen, sollte die oben demonstrierte Lücke doch gar nicht funktionieren oder? Mal davon abgesehen, dass die Angreifer den ganzen internen Printserver kapern, aber dann hat man andere Probleme…

  12. techee sagt:

    @Günter, sorry für den Doppelpost, aber hier schlägt Benjamin Delpy
    selber die von mir gerade beschriebenen Settings vor, um die Systeme abzusichern.
    https://twitter.com/gentilkiwi/status/1425875881680068608
    allerdings dort per Registry, ich würde das lieber per GPOs umsetzen…

  13. Max sagt:

    Ahhhh, ich checke es langsam gar nicht mehr.
    Soviele CVEs, soviele verschiedene Meinungen hier im Kommentarbereich. Der Workaround von Microsoft ist ja super, Druckerdienst deaktivieren. Ich kann nicht mehr drucken, ich kann keine PDFs erstellen. Ich brauche Adminrechte, um Drucker zu installieren, die per GPP auf userbasis verteilt werden?
    Hat die Point & Click GPO überhaupt eine Funktion? Wir sind hin und haben bei einer Vielzahl von Kunden die GPO aktiviert und einen nicht-vorhandenen FQDN angegeben.
    War das jetzt sinnlos und unnötig? Was muss ich als Admin denn jetzt machen? Was KANN ich machen?
    Ich bin so verwirrt :(

    Danke

    • David Scherer sagt:

      Servus Max,

      ich habe jetzt für meine Systeme folgende Maßnahmen umgesetzt.

      1. Bei allen Clients und Server die ACL via Powershell auf c:\windows\system32\spool\drivers angepasst –> Für SYSTEM Zugriffsverweigerung gesetzt

      2. RegKey „RestrictDriverInstallationToAdministrators" in HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\ auf Wert „1" gesetzt

      3. Für alle Server bis auf 3 notwendige Ausnahmen per GPO den Spooler beendet und auf deaktiviert gesetzt.

      4. Für alle Clients per GPO die PointandPrint Restrictions auf den Printserver gesetzt

      HKLM\Software\Policies\Microsoft\Windows NT\Printers\PackagePointAndPrint\PackagePointAndPrintServerList

      HKLM\Software\Policies\Microsoft\Windows NT\Printers\PackagePointAndPrint\ListofServers

      5. Ausgehenden SMB Traffic an der Firewall blockiert

      Damit fahren wir jetzt in unserer Umgebung hier recht gut, sind uns anhand dem was wir uns an Informationen zusammengetragen haben relativ sicher, dass wir so bestmöglich geschützt sind (abgesehen von der einzig wahren Möglichkeit den Spooler komplett zu deaktiviern) und unsere User können fast ohne Einschränkungen arbeiten.

      • fernan sagt:

        Hello David , I'm following the same path to workaround this situation, may have a question:
        Will the following regkey disallow the installation for standard users "RestrictDriverInstallationToAdministrators=1" ?
        And do you suggest that the above one with a combination of "Trusted Server List (via GPO)" works for you?

    • Marco sagt:

      Jein. Wenn man "RestrictDriverInstallationToAdministrators" auf 0 setzt, verhält sich alles wie vor dem Update, aber vermutlich ist dann auch die Lücke wieder nutzbar.

      Was die im verkinkten Artikel geschilderten Einstellungen zu Point and Print bzw. Package Point and Print angeht: Diese funktionieren leider nicht (mehr). Die Erfahrung habe ich selbst gemacht und sie nun auch hier in den Kommentaren sowie bei Reddit gelesen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.