Windows PrintNightmare: Microsoft bestätigt Probleme nach Sept. 2021-Update

Windows[English]Seit Monaten existieren in allen Windows-Versionen einer Reihe von Schwachstellen im Windows Print-Spooler-Dienst, die unter dem Begriff PrintNightmare zusammengefasst werden. Microsoft versucht, seit Juli 2021 vergeblich die Schwachstellen vollständig zu schließen, hat aber Probleme. Auch die zum Patchday am 14. September 2021 freigegebenen Updates verursachen Probleme, die Microsoft nun teilweise eingestanden hat. Es gibt den Ratschlag zur Druckertreiberaktualisierung, um wieder drucken zu können


Anzeige

Die PrintNightmare-Schwachstellen

Seit Anfang Juli 2021 sind Schwachstellen im Windows Print-Spooler öffentlich, die eine Remote Code Execution (RCE) ermöglichen (siehe PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko). Ein Angreifer könnte beliebigen Code mit SYSTEM-Rechten ausführen. Dies umfasst Programme zu installieren, Daten anzuzeigen, zu ändern oder löschen oder neue Konten mit vollen Benutzerrechten zu erstellen.

Zum Patchday am 14. September 2021 gab es einen weiteren PrintNightmare-Fix, der aber wieder Probleme aufwirft. So können Drucker an Terminalservern oder Print-Servern nicht mehr drucken. Ich hatte im Blog-Beitrag Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster bereits über das Thema berichtet.

Microsoft bestätigt die Probleme

Zum 17. September 2021 hat Microsoft dann im Windows 10 Statusbereich in den Known-Issues Probleme mit dem  Drucken eingeräumt. Der Eintrag Administrator credentials required every time apps attempt to print befasst sich mit dem Problem, dass die Druckerinstallation Administratorberechtigungen benötigt, wenn gedruckt werden soll. Dazu heißt es:

Nach der Installation von KB5005033 oder einem späteren Update wird bei bestimmten Druckern in einigen Umgebungen, die Point and Print verwenden, möglicherweise die Aufforderung "Vertrauen Sie diesem Drucker" angezeigt. Zudem werden, wenn eine Anwendung versucht, auf einem Druckserver zu drucken oder ein Druckclient eine Verbindung zu einem Druckserver herstellt, Administratoranmeldeinformationen zur Installation benötigt.

Dies wird dadurch verursacht, dass ein Druckertreiber auf dem Druckclient und dem Druckserver denselben Dateinamen verwendet, der Server jedoch eine neuere Version der Datei hat. Wenn der Druckclient eine Verbindung mit dem Druckserver herstellt, findet er eine neuere Treiberdatei und wird aufgefordert, die Treiber auf dem Druckclient zu aktualisieren, aber die Datei in dem Paket, das ihm zur Installation angeboten wird, enthält nicht die neuere Dateiversion.

Von diesem Verhalten sind folgende Windows-Clients und Server-Varianten betroffen – also alle noch unterstützten Windows-Versionen.

  • Client: Windows 10, Version 21H1; Windows 10, Version 20H2; Windows 10, Version 2004; Windows 10, Version 1909; Windows 10, Version 1809; Windows 10 Enterprise LTSC 2019; Windows 10 Enterprise LTSC 2016; Windows 10, Version 1607; Windows 10 Enterprise 2015 LTSB; Windows 8.1; Windows 7 SP1
  • Server: Windows Server 2022; Windows Server, Version 20H2; Windows Server, Version 2004; Windows Server, Version 1909; Windows Server, Version 1809; Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2

Microsofts "Workaround" lautet, sich zu vergewissern, dass die neuesten Treiber für alle Druckgeräte verwendet werden. Zudem sollte nach Möglichkeit dieselbe Version des Druckertreibers auf dem Druckclient und dem Druckserver verwendet werden. Dieses Problem ist also vom Administrator extern zu lösen, indem die Druckertreiber in der Umgebung angepasst werden. Wenn die Aktualisierung der Treiber das Problem nicht behebt, soll man sich an den Support Ihres Druckerherstellers (OEM) wenden (siehe auch die FAQ in KB5005652).

Erklärungen zum Hintergrund

Ergänzung: Über Twitter und Benjamin Delpy bin ich auf eine mögliche Erklärung für eine bestimmte Variante der Druckprobleme gestoßen. Ich habe die Details im Blog-Beitrag Windows September 2021-Update: Workaround für Druckprobleme aufbereitet.

Ähnliche Artikel
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher
Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien
Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
Windows PrintNightmare, neue Runde mit CVE-2021-36958
Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server
Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle für Angriffe
Microsofts macht bei PrintNightmare auf „schlanker Fuß"
Windows: PrintNightmare-Nachlese und Stand (27. August 2021)
Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster

Patchday: Windows 10-Updates (14. September 2021)
Patchday: Windows 8.1/Server 2012-Updates (14. September 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (14. September 2021)
Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Problemlösung, Update, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

31 Antworten zu Windows PrintNightmare: Microsoft bestätigt Probleme nach Sept. 2021-Update

  1. Luzifer sagt:

    Wie lange geht das jetzt schon? Also würde ich in meiner Firma so schlampen könnte ich dicht machen … tja manchmal schau ich da schon neidvoll: too big to fail hat was!

  2. Tom sagt:

    Das ist nur noch nervend und als verantwortlicher Admin steht man ziemlich doof da und kann nur raten was als nächstes versemmelt wird

  3. Sven Fischer sagt:

    Exakt wegen dem Problem war ich gestern den ganzen Tag unterwegs. Zumal auch in den Events nichts passendes zu finden war. Erst als ich die Druckverbindungen auf den Clients gelöscht habe, um dann den/die Drucker neu zu installieren, kam dann die Fehlermeldung 0x0000011b Drucker konnte wegen einem Problem nicht installiert werden …. Da waren alle Drucker betroffen, herstellerübergreifend, welche am direkt am Server (USB) angeschlossen waren.
    Dann auf dem "Server" (Win10 64B – Pro – 21H1), den Patch KB5005565 deinstalliert und fertig. Dann bei den Arbeitsstationen die Drucker wieder installiert und fertig war die Laube.
    Da werde ich mal demnächst einige Raspis mit CUPS ins LAN hängen. Dann funktioniert das Geraffel zumindest.

  4. Carsten sagt:

    Ich bin ja total überrascht, dass uns die Sache so rein gar nicht betrifft. Drucken ging und geht nach wie vor. Ob es hier wieder eine bestimmte Druckertreiber Sache ist in Kombination mit dem Update? Wir benutzen HP und Brother. Gedruckt wird über einen Printserver(Server 2016). Aber ich habe auch die GPO Settings von letztem Monate umgesetzt und den Printserver als vertrauenswürdig hinterlegt. Die ganze Registry Frickelei habe ich gelassen. So oder so wieder mal unschön, was Microsoft da abliefert. Aber das scheint ja das aktuelle Ding zu sein: Aktuelle Versionen komplett kaputt patchen mit dem Hinweis, das Win11 alles besser macht. Oder gleich gar nicht patchen und den Kopf in den Sand stecken, wie bei Omnigod. Ich tendiere sehr stark dazu bis 2025 soviel wie möglich auf nicht Windows umzustellen.

  5. Stefan sagt:

    Also was soll denn nun die Lösung laut Microsoft sein? Den Patch nicht installieren? Die GPO auf 0 setzen und somit quasi den Patch konterkarieren? Alle Drucker loakl installieren mit Adminrechten (was das Problem nicht behebn kann, den selbst als Admin kann man die Drucker nicht hinzufügen), auf Druckerteiber ALLER Hersteller für ALLE Modelle hoffen? Pff. Schauen wir mal bei HP vorbei https://support.hp.com/de-de/drivers/selfservice/hp-universal-print-driver-series-for-windows/503548/model/3271558 . Druckertreiber 9/2020.

    Ach, ich ruf einfach bei HP an: Guten Tag herr Packard, oder darf ich Hewie sagen? Machen sie mal einen neuen Treiber, hopp hopp.

    Wie in den vorigen Posts geschrieben. Beim ersten Kunden (dannach hab ich die Verteilung gestoppt) läuft der Printserver auf dem Terminalserver (weil dort eh alle Drucker zusammenkommen). Ist ein 2019er. Die Clients sind Win7/Win10 in allen Farben. Keiner, KEINER konnte mehr Drucker (Brother/HP). Da kam keine AdminPW-Aufforderung (uA weil alle lokale Admins sind), nur eine Fehlermeldung das der Druckertreiber nichtr gefunden werden konnte. Für die Leute welche direkt am Terminalserver drucken wollten (dort sind die Drucker ja direkt per TCP/IP-RAW eingebunden) stürzte die RDP-Sitzung ab, so bald man im Druckdialog war.

    Mal sehen ob ich mit der GPO auf 0 weiterkomme und wieder mal ein Zeitfenster finden darf das zu "testen". Tolle Leistung Microsoft.

  6. Dominik sagt:

    Wir haben einen Printserver und die Drucker werden via GPO an einen Terminalserver verteilt.
    Nachdem ich mich als Administrator auf dem Terminalserver angemeldet habe und "Treiber Installieren" beim Drucken geklickt habe ging es wieder. Muss einmal pro verwendetem Treiber gemacht werden. Danach konnten alle User wieder Drucken.

  7. F. Rosch sagt:

    Bitte wenn möglich die PrintNightmare Artikel mit dem entspr. Schlagwort versehen, damit man sie gesammelt als ein stets autom. aktueller Link an Betroffene senden kann. Vielen Dank.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.