Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster

Windows[English]Seit Monaten existieren in allen Windows-Versionen einer Reihe von Schwachstellen im Windows Print-Spooler-Dienst, die unter dem Begriff PrintNightmare zusammengefasst werden. Microsoft versucht, seit Juli 2021 vergeblich die Schwachstellen vollständig zu schließen. Nach jedem Patch treten neue Probleme auf. Zum Patchday am 14. September 2021 gab es einen weiteren PrintNightmare-Fix, der aber wieder Probleme aufwirft. Hier ein kurzer Überblick zum Sachstand, der für einige Nutzer in ein Desaster ausartet, denn das Drucken klappt nicht mehr.


Anzeige

Die PrintNightmare-Schwachstelle

Anfang Juli 2021 hatte ich im Blog-Beitrag PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko erstmals über die Schwachstelle CVE-2021-1675 im Windows Print-Spooler berichtet. Es handelt sich um einer Remote Code Execution (RCE) Schwachstelle, über die ein Angreifer beliebigen Code mit SYSTEM-Rechten ausführen könnte. Dies umfasst Programme zu installieren, Daten anzuzeigen, zu ändern oder löschen oder neue Konten mit vollen Benutzerrechten zu erstellen.

Microsoft versucht seit Anfang Juli 2021 die PrintNightmare-Schwachstelle durch Updates zu beseitigen (siehe Linkliste am Artikelende). Diese Versuche schlugen bisher aber fehl, die PrintNightmare-Schwachstelle wurde unvollständig gepatcht. Zudem gibt es nach jedem Update andere Probleme, z.B. dass Druckertreiber zur Installation Administratorrechte benötigen. Die Linkliste am Artikelende fasst die Blog-Beiträge zum Thema zusammen. Ende August 2021 hatte ich im Blog-Beitrag Windows: PrintNightmare-Nachlese und Stand (27. August 2021) den letzten Stand zusammen gefasst.

September 2021-Patches für PrintNightmare

Zum 14. September 2021 hat Microsoft auch die PrintNightmare-Schwachstelle in seinen Sicherheitsupdates für Windows berücksichtigt, auch wenn das nicht explizit in den Supportbeiträgen erwähnt wurde. Ich habe aber einen diesbezüglichen Sicherheitshinweis von Microsoft erhalten.

CVE-2021-1678

– Windows Print Spooler Spoofing Vulnerability
CVE-2021-1678 – Version 2.0
– Reason for Revision: CVE updated to announce that Microsoft is releasing the
September 2021 security updates for all affected versions of Windows to address
this vulnerability. Additionally, other information has been updated, including
the following: 1) The CVE title and impact have been changed to better reflect
the vulnerability. 2) FAQs have been added. 3) Acknowledgement has been updated.
– Originally posted: January 12, 2021
– Updated: September 14, 2021

CVE-2021-36958

– Windows Print Spooler Remote Code Execution Vulnerability
CVE-2021-36958  – Version 2.0
– Reason for Revision: CVE updated to announce that Microsoft is releasing the
September 2021 security updates for all affected versions of Windows to address
this vulnerability. Additionally, other information has been updated, including the
following: 1) Executive Summary has been updated 2) Workarounds have been removed as
they are no longer applicable 3) FAQs have been updated to reflect the release of the
September 2021 security updates.
– Originally posted: August 11, 2021
– Updated: September 14, 2021

Microsoft hat also zum 14. September 2021 neue Patches für die beiden oben aufgeführten Schwachstellen freigegeben. Die Kollegen von Bleeping Computer haben in diesem Artikel einen Abriss der Informationen gegeben. Benjamin Delpi bestätigt in diesem Tweet, dass die von seinen Exploits verwendeten Schwachstellen nicht mehr funktionieren.


Anzeige

PrintNightmare Sept. 2021 patch

Delpy gab gegenüber BleepingComputer an, dass Microsoft die CopyFiles-Funktion standardmäßig deaktiviert habe. Das könnte die Erklärung sein, warum manche Druckertreiber nach dem Patch Probleme machen. Es gibt nun aber eine undokumentierte Gruppenrichtlinie, mit der Administratoren die CopyFiles-Funktion wieder aktivieren können. Dazu muss in der Windows-Registrierung unter dem Schlüssel:

HKLM\Software\Policies\Microsoft\Windows NT\Printers

ein DWORD-Wert CopyFilesPolicy hinzugefügt und auf 1 gesetzt werden, damit CopyFiles wieder aktiviert ist. Laut Delpy kann diese Funktion dann trotzdem nur mit der Microsoft-Datei C:\Windows\System32\mscms.dll verwendet werden.

Druckprobleme durch den Patch

Ähnlich wie bereits im August 2021 (siehe Windows: PrintNightmare-Nachlese und Stand (27. August 2021)) scheinen die neuen Updates auch wieder Probleme bei Druckern zu verursachen. Nutzer Andreas berichtet hier von streikenden Notbook-Druckern an Apple-Geräten an einem Windows Server 2019 PrintServer, was durch weitere Leser bestätigt wird. Blog-Leser Andreas Oberhof schreibt in diesem Kommentar zum Artikel Patchday: Windows 10-Updates (14. September 2021):

Druckerproblem nach September Update. Bei freigegebenen Druckern fehlen plötzlich an den Clients (win 10, aktuelles FU) die Treiber.
Druck ist nicht möglich. Drucker entfernen ist nicht möglich. Drucker hinzufügen nicht möglich. Interessanterweise bestehen die Probleme auf einem Terminalserver in der gleichen Umgebung (auch gepatcht) nicht.
Jemand eine Idee?

Blog-Leser Stefan bestätigt dieses Problem auf einem Terminalserver. Blog-Leser Thomas beschreibt ein exotisches Problem, dass beim Debuggen eines Druckertreibers den PC einfrieren lässt – das Ganze ist hier beschrieben. Auf mewe.com habe ich auf den Patchday-Beitrag folgende Rückmeldung erhalten:

… das weitaus größere Problem ist: in unserem Netzwerk können Test-Benutzer nun keine Drucker mehr verbinden und benötigen dafür administrative Rechte. Rechtsklick unter W10 beim Printserver unter 2016 will dann Treiber holen und Peng

Im Forum von Bleeping Computer gibt es diesen Thread, der sich um Druckprobleme bei Netzwerk-Druckern nach Installation von Update KB5005565 dreht. Und auf reddit.com ist mir dieser Thread aufgefallen, wo Nutzer ebenfalls Probleme beim Drucken durch die Sept. 2021-Updates bestätigen. Auf reddit.com bestätigt dieser Thread das Problem bei Drucker unter Windows Server 2012 R2 – und dieser reddit.com-Thread beschreibt das Gleiche.

Ergänzung: Inzwischen liegen mir eine Reihe Berichte von Betroffenen vor, die nicht mehr drucken können. Das tangiert alle möglichen Drucker, selbst Zebra-Etikettendrucker sind darunter. Im Juli 2021 musste Microsoft sogar einen Patch per KIR zurücknehmen (siehe Windows 10: Microsoft fixt Zebra-/Dymo-Druckproblem KB5004945 per KIR).

Was helfen könnte

In diesem Kommentar zum Artikel Windows: PrintNightmare-Nachlese und Stand (27. August 2021) schreibt Benjamin, dass es ihm mit den im Beitrag zusammen getragenen Hinweisen (V4-Treibern auf dem PrintServer ein zweites Mal eingerichten) gelungen sei, die streikenden Geräte wieder zum Arbeiten zu bringen. Das dürfte aber wohl nur in Einzelfällen die Probleme beseitigen.

Im Blog-Beitrag hatte ich auch erwähnt, dass man die durch das August 2021-Update eingeführten Admin-Berechtigungen zur Druckerinstallation per GPO zurücksetzen kann. Microsoft hat dies im Support-Beitrag KB5005652 beschrieben.

Hilfe für Error 0x0000011b

Es klang ja oben im Text und in den Kommentaren an, bei Terminalservern wird bei der Druckerinstallation der Fehler 0x0000011b ausgelöst. Dazu schrieb mir Blog-Leser Markus K.:

Printserver 2019 mit September CU und Client mit September CU resultieren beim Hinzufügen eines Druckers in Fehler 0x0000011b.

Läßt man den Printserver auf Stand August [2021] und patcht man nur den Client, funktioniert das Hinzufügen eines Druckers nur, wenn man zusätzlich zur Point and Print Konfiguration die GPO:

"Package Point and print – Approved servers" ergänzt.

Links dazu:

bleepingcomputer.com
reddit.com

Wir konnten das Verhalten derzeit bei HP Druckern beobachten, ob andere Marken auch betroffen sind, kann ich derzeit nicht beurteilen. Das ganze artet in einen Schrecken ohne Ende aus.

LG,
Markus

PS: https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/bug-check-0x11b—driver-returned-holding-cancel-lock Hilft halt leider auch nicht sonderlich weiter…

Danke an Markus K., vielleicht hilft es euch weiter.

Ergänzung: Inzwischen hat Microsoft den Fehler bestätigt (siehe Windows PrintNightmare: Microsoft bestätigt Probleme nach Sept. 2021-Update). Zudem habe ich im Blog-Beitrag Windows September 2021-Update: Workaround für Druckprobleme weitere Hinweise zusammengetragen, was man bei Problemen mit Druck-Servern noch versuchen kann.

Ähnliche Artikel
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher
Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien
Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
Windows PrintNightmare, neue Runde mit CVE-2021-36958
Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server
Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle für Angriffe
Microsofts macht bei PrintNightmare auf „schlanker Fuß"
Windows: PrintNightmare-Nachlese und Stand (27. August 2021)

Patchday: Windows 10-Updates (14. September 2021)
Patchday: Windows 8.1/Server 2012-Updates (14. September 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (14. September 2021)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Update, Windows, Windows 10, Windows 7, Windows 8.1, Windows Server abgelegt und mit Drucken, Patchday 9.2021, PrintNightmare, Problem, Sicherheit, Update, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

22 Antworten zu Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster

  1. Tom sagt:

    Kann ich bestätigen… Update deinstalliert und die Drucker drucken wider

    • Mensch sagt:

      bei uns auch auf 7 Druckservern dasselbe Problem mit Patch geht es nicht mehr nach Deinstallieren und Neustarten alles wieder gut. Hoffe MS schafft hier abhilfe!! Oder gibt es einen guten Workaround?

  2. mvo sagt:

    Wir haben einen 2012R2 Printserver, auf dem eine Anwender seit heute auf einem einzelnen Drucker nicht mehr drucken kann. Ruft man den UNC Pfad im Explorer auf, wird plötzlich nach Usernamen und Passwort gefragt. Als Workaround druckt der PC nun direkt auf die IP des Druckers. Auf anderen, praktisch identischen PC läuft es, obwohl diese auf dem selben Updatestand sind. Sehr merkwürdig. Warten wir mal ab, wie es sich entwickelt.

  3. 1ST1 sagt:

    Habe nun auch einen Drucker bei uns entdeckt, der nicht mehr mag, Der wird per zentralem Windows-Printserver für mehrere Benutzer eines Außenstandortes benutzt, es ist der einzige Drucker dort. An dem Printserver hängen noch drei Dutzend weitere Drucker für andere Standorte, die gehen aber alle. Der eine Drucker ist ein Exot in unserem Hause, es ist ein Kyocera mit neuestem KX-v4-Universal-Treiber, fast alle anderen sind HP, aber dieser Kyocera hat bislang den ganzen Printnightmare seit Juli schadlos überlebt. Ich habe gerade den Treiber neu installiert, jetzt geht er wieder. Aber der nächste Patchday kommt bestimmt! Microsoft verfährt wohl nach dem Motto: "Kyocera? Wie kriegen euch alle dran, früher oder später!"

    • Andreas K. sagt:

      Bei mir ist es ein Zebra (von 8) welcher seit heute zickt, alle anderen (9) Kyocera und 2 HP auch noch nie Probleme gehabt.
      Du meinst, drüberinstallieren hilft?

    • 1ST1 sagt:

      Hmmm, Mist. Auf dem Printserver läuft noch ein Tool mit (hat nichts mit dem Drucken zu tun), das heute ein Kollege aktualisiert hat, erforderte einen Neustart des Servers, und jetzt geht der Drucker wieder nicht. Momentan schaffe ich es nicht, der Printquere wieder den Druckertreiber zuzuweisen, wird abgeleht. Morgen werde ich mal die ganze Printqueue löschen und neu einrichten.

      • Andreas K. sagt:

        Bei mir sind heute die Kyocera-Drucker dazugekommen. Keine Verbindung mehr möglich vom Client. Lokal am Client einrichten funktioniert dann aber.

  4. techee sagt:

    Verstehe ich das richtig, dass die Probleme aktuell nur auftreten, wenn man die Patche am Printserver installiert? Also ist die Installation ausschließlich an den Clients erstmal problemlos möglich?

    • Matthias sagt:

      nein, auch am Client installieren führt zu Problemen.

      • Stefan sagt:

        Das kann ich so nicht bestätigen. Clients drucken bei uns fehlerfrei (7/10 ohne Parch, sowie 10er mit Septemberpatch), so bald aber am Server der Patch installiert wird, ists aus.

        Verzichte vorerst mal auf das Septemberupdate, wäre aber „nett" wenn MS hier mal eine Lösung bereitstellen würde. Auf gut Glück bastel ich mal nicht in der Registry oder den GPOs rum um diesen Krampf wieder zu fixen.

  5. MOM20xx sagt:

    sorry aber testet den dreck in redmond auch wer?

    Windows Server 2019 Drucker vom Druckserver hinzufügen kein Problem

    Windows 10 21H1 \\druckserver\drucker hinzufügen bringt Vertrauen Sie diesem Drucker? Dialog und im Dialog steht plötzlich \\druckserver-computer welchen es ja eigentlich in der form gar nicht gibt.

  6. Anonymous sagt:

    Bei uns hat geholfen die Printserver auf Server 2019 umzuziehen. Danach ging alles wieder.

    • Stefan sagt:

      Unsere sind 2019, erst die Deinstallation hat was gebracht. Wie gesagt, wenn es Infos gibt ob RestrictDriverInstallationToAdministrators 0 probier ichs nochmal, sonst lass ich hier lieber mal die Finger von.

      • irgend ein IT-ler aus der CH :-) sagt:

        funktioniert. würde aber aus sicherheitstechnischer sicht, nach der treiberinstallation der wert wieder auf 1 setzen

  7. Chris Ueberall sagt:

    Ich musste KB5005568 auf dem Server 2019 deinstallieren, da mehrere Konicas/Kyoceras nicht mehr drucken wollten. U.a. kam der Fehler 0x0000011b.
    Es gab aber auch Drucker die man noch verwenden konnte.
    Nach der Deinstallation war der Spuk vorbei.

  8. Case sagt:

    Bei uns unter 2012 R2 (Terminal mit Printserver) keine Probleme nach dem Patch.
    Div. Zebra Labeldrucker, Sharp, Konica Minolta, Brother und OKI ohne Probleme sowohl auf Terminal direkt wie auch von Clients über die Shares.

  9. Gesundheitsdirektion Kanton Zürich sagt:

    hallo
    auf Server 2012R2 und Server 2016 kein Drucken mehr von > 1809 Windows 10.
    Auf dem server kb5005613 deinstalliert, jetzt geht es wieder.
    Server 2016 5005573 deinstalliert, Server bootet nicht mehr.
    Super Microsoft!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.