Windows PrintNightmare: Microsoft bestätigt Probleme nach Sept. 2021-Update

Windows[English]Seit Monaten existieren in allen Windows-Versionen einer Reihe von Schwachstellen im Windows Print-Spooler-Dienst, die unter dem Begriff PrintNightmare zusammengefasst werden. Microsoft versucht, seit Juli 2021 vergeblich die Schwachstellen vollständig zu schließen, hat aber Probleme. Auch die zum Patchday am 14. September 2021 freigegebenen Updates verursachen Probleme, die Microsoft nun teilweise eingestanden hat. Es gibt den Ratschlag zur Druckertreiberaktualisierung, um wieder drucken zu können


Anzeige

Die PrintNightmare-Schwachstellen

Seit Anfang Juli 2021 sind Schwachstellen im Windows Print-Spooler öffentlich, die eine Remote Code Execution (RCE) ermöglichen (siehe PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko). Ein Angreifer könnte beliebigen Code mit SYSTEM-Rechten ausführen. Dies umfasst Programme zu installieren, Daten anzuzeigen, zu ändern oder löschen oder neue Konten mit vollen Benutzerrechten zu erstellen.

Zum Patchday am 14. September 2021 gab es einen weiteren PrintNightmare-Fix, der aber wieder Probleme aufwirft. So können Drucker an Terminalservern oder Print-Servern nicht mehr drucken. Ich hatte im Blog-Beitrag Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster bereits über das Thema berichtet.

Microsoft bestätigt die Probleme

Zum 17. September 2021 hat Microsoft dann im Windows 10 Statusbereich in den Known-Issues Probleme mit dem  Drucken eingeräumt. Der Eintrag Administrator credentials required every time apps attempt to print befasst sich mit dem Problem, dass die Druckerinstallation Administratorberechtigungen benötigt, wenn gedruckt werden soll. Dazu heißt es:

Nach der Installation von KB5005033 oder einem späteren Update wird bei bestimmten Druckern in einigen Umgebungen, die Point and Print verwenden, möglicherweise die Aufforderung "Vertrauen Sie diesem Drucker" angezeigt. Zudem werden, wenn eine Anwendung versucht, auf einem Druckserver zu drucken oder ein Druckclient eine Verbindung zu einem Druckserver herstellt, Administratoranmeldeinformationen zur Installation benötigt.

Dies wird dadurch verursacht, dass ein Druckertreiber auf dem Druckclient und dem Druckserver denselben Dateinamen verwendet, der Server jedoch eine neuere Version der Datei hat. Wenn der Druckclient eine Verbindung mit dem Druckserver herstellt, findet er eine neuere Treiberdatei und wird aufgefordert, die Treiber auf dem Druckclient zu aktualisieren, aber die Datei in dem Paket, das ihm zur Installation angeboten wird, enthält nicht die neuere Dateiversion.

Von diesem Verhalten sind folgende Windows-Clients und Server-Varianten betroffen – also alle noch unterstützten Windows-Versionen.

  • Client: Windows 10, Version 21H1; Windows 10, Version 20H2; Windows 10, Version 2004; Windows 10, Version 1909; Windows 10, Version 1809; Windows 10 Enterprise LTSC 2019; Windows 10 Enterprise LTSC 2016; Windows 10, Version 1607; Windows 10 Enterprise 2015 LTSB; Windows 8.1; Windows 7 SP1
  • Server: Windows Server 2022; Windows Server, Version 20H2; Windows Server, Version 2004; Windows Server, Version 1909; Windows Server, Version 1809; Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2

Microsofts "Workaround" lautet, sich zu vergewissern, dass die neuesten Treiber für alle Druckgeräte verwendet werden. Zudem sollte nach Möglichkeit dieselbe Version des Druckertreibers auf dem Druckclient und dem Druckserver verwendet werden. Dieses Problem ist also vom Administrator extern zu lösen, indem die Druckertreiber in der Umgebung angepasst werden. Wenn die Aktualisierung der Treiber das Problem nicht behebt, soll man sich an den Support Ihres Druckerherstellers (OEM) wenden (siehe auch die FAQ in KB5005652).

Erklärungen zum Hintergrund

Ergänzung: Über Twitter und Benjamin Delpy bin ich auf eine mögliche Erklärung für eine bestimmte Variante der Druckprobleme gestoßen. Ich habe die Details im Blog-Beitrag Windows September 2021-Update: Workaround für Druckprobleme aufbereitet.

Ähnliche Artikel
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher
Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien
Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
Windows PrintNightmare, neue Runde mit CVE-2021-36958
Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server
Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle für Angriffe
Microsofts macht bei PrintNightmare auf „schlanker Fuß"
Windows: PrintNightmare-Nachlese und Stand (27. August 2021)
Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster

Patchday: Windows 10-Updates (14. September 2021)
Patchday: Windows 8.1/Server 2012-Updates (14. September 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (14. September 2021)
Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Problemlösung, Update, Windows abgelegt und mit Patchday 9.2021, Problem, Update, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

31 Antworten zu Windows PrintNightmare: Microsoft bestätigt Probleme nach Sept. 2021-Update

  1. Luzifer sagt:

    Wie lange geht das jetzt schon? Also würde ich in meiner Firma so schlampen könnte ich dicht machen … tja manchmal schau ich da schon neidvoll: too big to fail hat was!

    • Zocker sagt:

      Für Unternehmen ist diese Posse einfach nur grauenhaft. Man muss sich mal den monatlichen Aufwand für die Admins überlegen. Insbesondere wenn unterschiedliche Drucker im Einsatz sind. Will nicht wissen, wie viele Firmen dadurch kurzzeitig lahmgelegt werden, weil die Updates vorher nicht getestet werden.
      Immerhin sind Privatanwender diesmal nicht betroffen.

      • Tom sagt:

        Natürlich sind auch die Privaten betroffen sofern der Drucker nicht direkt verbunden ist

        • Zocker sagt:

          Solche Umgebungen sind im privaten Umfeld eher die Ausnahme. In meinem Bekanntenkreis wird der Drucker direkt angeschlossen.

          • 1ST1 sagt:

            Mein oller Brother HL-1450 hängt an einem Windows-10-PC den ich als Dateiserver benutze, und auch als Druckerserver. Aber der ist bei den Updates nicht ausgefallen.

          • Zocker sagt:

            Und du meinst du bist damit repräsentativ?

            EDIT: Ich hätte vielleicht besser schreiben sollen "Immerhin sind Privatanwender diesmal (eher) nicht betroffen."

          • 1ST1 sagt:

            WIll nur dokumentieren: Ausnahmen bestätigen die Regel. Aber sobald in einer Familie mehrere PCs vorhanden sind, macht das Sinn.

          • Gülen sagt:

            *ergibt das Sinn

          • Luzifer sagt:

            Tellerrand und so?
            Also ich hab hier nen Laserdrucker per USB/LAN/WLAN, dann nen AiO Tintenstrahler von Canon, einen extra Photodrucker, einen Labeldrucker, einen Schneidplotter, einen 3D Drucker mit Pulververfahren, einen 3D Drucker mit PLA Rolle und einen 3D drucker mit Flüssigharz alles im Netzwerk hängen mit Printserver.
            Und schaue ich mich in meinem Bekanntenkries um sieht das da ähnlich aus, also nein davon sind nicht nur Firmen betroffen.
            Mann sollte halt auch etwas weiter als den eigenen beschränkten Horizont schauen!

          • Luzifer sagt:

            /edit/ man hat eben noch andere Hobbies als nur Computer ;-P Modellbau, Drohnenbau usw.

      • Arztdrucker Fan FS1100 sagt:

        Natürlich, ich bin dieses Jahr mehrfach (privat) betroffen, Kyocera.
        Das ist unfassbar, was die Probleme auslösen!

  2. Tom sagt:

    Das ist nur noch nervend und als verantwortlicher Admin steht man ziemlich doof da und kann nur raten was als nächstes versemmelt wird

  3. Sven Fischer sagt:

    Exakt wegen dem Problem war ich gestern den ganzen Tag unterwegs. Zumal auch in den Events nichts passendes zu finden war. Erst als ich die Druckverbindungen auf den Clients gelöscht habe, um dann den/die Drucker neu zu installieren, kam dann die Fehlermeldung 0x0000011b Drucker konnte wegen einem Problem nicht installiert werden …. Da waren alle Drucker betroffen, herstellerübergreifend, welche am direkt am Server (USB) angeschlossen waren.
    Dann auf dem "Server" (Win10 64B – Pro – 21H1), den Patch KB5005565 deinstalliert und fertig. Dann bei den Arbeitsstationen die Drucker wieder installiert und fertig war die Laube.
    Da werde ich mal demnächst einige Raspis mit CUPS ins LAN hängen. Dann funktioniert das Geraffel zumindest.

  4. Carsten sagt:

    Ich bin ja total überrascht, dass uns die Sache so rein gar nicht betrifft. Drucken ging und geht nach wie vor. Ob es hier wieder eine bestimmte Druckertreiber Sache ist in Kombination mit dem Update? Wir benutzen HP und Brother. Gedruckt wird über einen Printserver(Server 2016). Aber ich habe auch die GPO Settings von letztem Monate umgesetzt und den Printserver als vertrauenswürdig hinterlegt. Die ganze Registry Frickelei habe ich gelassen. So oder so wieder mal unschön, was Microsoft da abliefert. Aber das scheint ja das aktuelle Ding zu sein: Aktuelle Versionen komplett kaputt patchen mit dem Hinweis, das Win11 alles besser macht. Oder gleich gar nicht patchen und den Kopf in den Sand stecken, wie bei Omnigod. Ich tendiere sehr stark dazu bis 2025 soviel wie möglich auf nicht Windows umzustellen.

  5. Stefan sagt:

    Also was soll denn nun die Lösung laut Microsoft sein? Den Patch nicht installieren? Die GPO auf 0 setzen und somit quasi den Patch konterkarieren? Alle Drucker loakl installieren mit Adminrechten (was das Problem nicht behebn kann, den selbst als Admin kann man die Drucker nicht hinzufügen), auf Druckerteiber ALLER Hersteller für ALLE Modelle hoffen? Pff. Schauen wir mal bei HP vorbei https://support.hp.com/de-de/drivers/selfservice/hp-universal-print-driver-series-for-windows/503548/model/3271558 . Druckertreiber 9/2020.

    Ach, ich ruf einfach bei HP an: Guten Tag herr Packard, oder darf ich Hewie sagen? Machen sie mal einen neuen Treiber, hopp hopp.

    Wie in den vorigen Posts geschrieben. Beim ersten Kunden (dannach hab ich die Verteilung gestoppt) läuft der Printserver auf dem Terminalserver (weil dort eh alle Drucker zusammenkommen). Ist ein 2019er. Die Clients sind Win7/Win10 in allen Farben. Keiner, KEINER konnte mehr Drucker (Brother/HP). Da kam keine AdminPW-Aufforderung (uA weil alle lokale Admins sind), nur eine Fehlermeldung das der Druckertreiber nichtr gefunden werden konnte. Für die Leute welche direkt am Terminalserver drucken wollten (dort sind die Drucker ja direkt per TCP/IP-RAW eingebunden) stürzte die RDP-Sitzung ab, so bald man im Druckdialog war.

    Mal sehen ob ich mit der GPO auf 0 weiterkomme und wieder mal ein Zeitfenster finden darf das zu "testen". Tolle Leistung Microsoft.

  6. Dominik sagt:

    Wir haben einen Printserver und die Drucker werden via GPO an einen Terminalserver verteilt.
    Nachdem ich mich als Administrator auf dem Terminalserver angemeldet habe und "Treiber Installieren" beim Drucken geklickt habe ging es wieder. Muss einmal pro verwendetem Treiber gemacht werden. Danach konnten alle User wieder Drucken.

  7. F. Rosch sagt:

    Bitte wenn möglich die PrintNightmare Artikel mit dem entspr. Schlagwort versehen, damit man sie gesammelt als ein stets autom. aktueller Link an Betroffene senden kann. Vielen Dank.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.