Windows-PrintNightmare: Stand, Probleme und Workarounds (22. Sept. 2021)

Windows[English]Seit dem Patchday vom 14. September 2021, an dem weitere Sicherheitsupdates zum Schließen der PrintNightmare-Schwachstellen ausgeliefert werden, gibt es in einigen Umgebungen massive Probleme mit Netzwerkdruckern. Hintergrund ist, dass Microsoft im August und im September 2021 bestimmte Sicherheitsmaßnahmen umgesetzt hat. Der Beitrag gibt den Stand zum 22. September 2021 wieder und fasst Lösungen sowie Workarounds zur Lösung von Druckproblemen aus diversen Beiträgen hier im Blog zusammen.


Anzeige

Patchday und PrintNightmare-Druckprobleme

Seit Juli 2021 wurden ja diverse Sicherheitsupdate von Microsoft für Windows veröffentlicht, die die unter dem Namen PrintNightmare zusammengefassten Schwachstellen schließen sollen. Ich hatte in den diversen, am Artikelende verlinkten Beiträgen darüber geschrieben. Über die PrintNightmare-Schwachstellen könnte ein Angreifer beliebigen Code mit SYSTEM-Rechten ausführen oder Informationen (Information disclosure) abrufen.

Zum Patchday am 14. September 2021 gab es einen weiteren PrintNightmare-Fix für die unterstützten Windows-Versionen – der aber nicht explizit in den Supportbeiträgen hervorgehoben wurde. Nachfolgende Blog-Beiträge listen die Windows-Updates für September 2021 auf.

Patchday: Windows 10-Updates (14. September 2021)
Patchday: Windows 8.1/Server 2012-Updates (14. September 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (14. September 2021)

Nach Installation der Sicherheitsupdates kommt es in manchen Systemumgebungen dazu, dass Drucker nicht mehr verfügbar sind, nicht mehr drucken oder dass es sogar Abstürze mit dem Stop-Fehler 0x0000011b gibt. Microsoft hat inzwischen in einem eigenen Beitrag die Probleme bestätigt (siehe meinen Beitrag Windows PrintNightmare: Microsoft bestätigt Probleme nach Sept. 2021-Update). Betroffenen Administratoren bleiben mehrere Möglichkeiten, um auf Druckprobleme zu reagieren.

Lösung 1: Treiber aktualisieren

Die anzustrebende Lösung wurde von Microsoft im Beitrag Administrator credentials required every time apps attempt to print veröffentlicht.  Dort heißt es, dass nach der Installation der September 2021-Updates (oder späterer Update) für Windows eine Sicherheitswarnung Vertrauen Sie diesem Drucker angezeigt werde. Zudem seien Administratorberechtigungen erforderlich, wenn eine Anwendung versucht, auf einem Druckserver zu drucken oder ein Druckclient eine Verbindung zu einem Druckserver herstellt. Hintergrund ist, dass dann eine Treiberinstallation versucht wird.

Microsoft erklärt dieses Verhalten damit, dass der Druckertreiber auf dem Client und dem Druckserver zwar die gleichen Dateinamen, aber unterschiedliche Versionen verwendet (auf dem Server ist eine neuere Version installiert). Das führt zum Versuch, den Druckertreiber auf dem Client zu aktualisieren, was aber Administratorrechte erfordert.

Ich hatte das im Blog-Beitrag Windows PrintNightmare: Microsoft bestätigt Probleme nach Sept. 2021-Update angesprochen. Die von Administratoren auszuführenden Schritte zur Problemlösung lassen sich in folgenden Punkten zusammenfassen.

  • Sicherstellen, dass die neuesten Druckertreiber (möglichst V4-Treiber) auf den Clients und Servern verwendet werden (siehe auch diesen Kommentar). In manchen Fällen hat die Verwendung von Universal-Druckertreibern für die Geräte das Problem behoben.
  • Vor allem ist sicherzustellen, dass sowohl Client als auch Server die gleiche Treiberversion verwenden. Das geht aus den obigen Erläuterungen hervor. Rückmeldungen im Blog zeigen, dass sich die Probleme lösen ließen, indem sich ein Administrator am Druckserver anmeldete und die Treiber aktualisieren ließ.

Bei Problemen sollte ggf. auch geprüft werden, ob die Updates vom September 2021 bereits an alle Clients und Server verteilt wurden und die Installation auch erfolgreich abgeschlossen ist (siehe diesen Kommentar). Andernfalls administriert man ggf. hinter Problemen her, die sich bei sauberem Update-Stand möglicherweise von selbst erledigen.


Anzeige

Der obige Ansatz zur Treiberaktualisierung wird sich möglicherweise nicht überall realisieren lassen. Möglicherweise hat der OEM deren Entwicklung eingestellt. Oder der Funktionsumfang neuerer V4-Druckertreiber macht Probleme – hier im Blog hat ein Kommentator auf diesen älteren Papercut-Beitrag zum Thema hingewiesen.

Workarounds, falls Lösung 1 nicht klappt

Sofern die oben skizzierte Lösung nicht funktioniert oder nicht durchführbar ist, ist natürlich schnelles Handeln angesagt, damit wieder gedruckt werden kann. Statt das jeweilige Sicherheitsupdate komplett zu deinstallieren, können die nachfolgenden Workarounds das kleinere Übel sein.

#1: Druckerinstallation ohne Administratorrechte zulassen

Mit den August 2021-Updates wurde von Microsoft eine neue Sicherheitsrichtlinie eingeführt, die bei Point an Print-Druckern eine Treiberinstallation auf Administratoren begrenzt. Das soll die Einbindung von kompromittierten Remote-Netzwerkdruckern im Rahmen der PrintNightmare-Schwachstelle durch normale Anwender verhindern.

Sofern die Anforderung von Druckertreibern zur Neuinstallation nicht abgestellt werden kann, besteht die Möglichkeit, diese mit den August 2021-Updates eingeführte Richtlinie wieder zu deaktivieren. Microsoft beschreibt dies im Supportbeitrag KB5005652 – Verwalten des Installationsverhaltens für neuen Point- und Print-Treiber (CVE-2021-34481). Dazu ist im Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

der DWORD-Wert RestrictDriverInstallationToAdministrators=0 zu setzen, um im lokalen Netzwerk mit den Client wieder ohne Administratorrechte Treiber installieren zu können. Geht in den Blog-Beitrag Windows: PrintNightmare-Nachlese und Stand (27. August 2021) und lest die Hinweise auf die drei Gruppenrichtlinien, die Mark Heitbrink auf gruppenrichtlinien.de dazu veröffentlicht hat. Unter anderem sollten die zugelassenen Netzwerk-Druckserver, die eine Benutzer verwenden darf, vorgegeben werden. Auch Microsoft hat das im Supportbeitrag KB5005652 – Verwalten des Installationsverhaltens für neuen Point- und Print-Treiber (CVE-2021-34481) behandelt. Dann scheint das Risiko, dass PrintNightmare über diese Schiene für Angriffe ausgenutzt wird, beherrschbar.

Ergänzung: Bin noch per Twitter auf diesen Tweet und diesen GitHub-Beitrag von gentilkiwi hingewiesen worden. Der GPO-Eintrag PackagePointAndPrintOnly=1 sollte gesetzt werden, um diese Funktion zu erzwingen (siehe auch diese US-CERT-Empfehlung von August 2021 mit weiteren Details). Die GPOs und Registrierungspfade sind auf GitHub detailliert beschrieben.

#2: Druck-Fehler 0x0000011b lösen (rpcAuthnLevelPrivacyEnabled)

Bei einigen Administratoren tritt das Problem auf, dass Printserver beim Hinzufügen eines Druckers mit dem Stop-Fehler 0x0000011b reagieren. In diesem Zusammenhang hat Blog-Leser Markus K. die Erfahrung gemacht (siehe Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster), dass ein unterschiedlicher Patchstand das Problem umgehen kann:

Lässt man den Printserver auf [dem Update] Stand August [2021] und patcht man nur den Client [auf den September 2021 Updatestand], funktioniert das Hinzufügen eines Druckers nur, wenn man zusätzlich zur Point and Print Konfiguration die GPO: "Package Point and print – Approved servers" ergänzt.

Hintergrund ist nach meinem bisherigen Wissen, dass Microsoft die RPC-Bindung des Druckers zur Abmilderung von CVE-2021-1678 (Spoofing-Schwachstelle) über einen Registrierungseintrag im Zweig:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

sicherheitstechnisch verschärft hat. Der Patch wurde im Januar 2021 eingeführt, aber der DWORD-Wert rpcAuthnLevelPrivacyEnabled=1 wurde erst mit dem September 2021-Update verpflichtend gesetzt (Enforcement Mode). Das Ganze ist im Microsoft Supportbeitrag Verwalten der Bereitstellung von Änderungen der Drucker-RPC-Bindung für CVE-2021-1678 (KB4599464) ausführlicher beschrieben.

Ich habe den Ansatz im Blog-Beitrag Windows September 2021-Update: Workaround für Druckprobleme umrissen, da diese Änderung Microsofts in einigen Umgebungen für den obigen Fehler 0x0000011b verantwortlich zu sein scheint. Setzt man den DWORD-Wert rpcAuthnLevelPrivacyEnabled=0 und startet den Druck-Spooler neu, verschwindet der Stop-Fehler 0x0000011b. Der Ansatz hilft, wie mir Rückmeldungen von Betroffenen zeigen. Blog-Leser Markus K. schrieb:

wir haben jetzt den "workaround" nachgekocht. Ergebnis "RpcAuthnLevelPrivacyEnabled" auf 0 setzen und drucken funktioniert wieder, laut MS hat man dafür aber auch wieder das PrinterNightmare. Sprich man ist ungepatcht kann aber wieder drucken.

Durch diese Maßnahme wird der Patch gegen die Spoofing-Schwachstelle CVE-2021-1678 wieder aufgehoben. Hier gilt dann die Abwägung in Bezug auf Sicherheit. Immerhin hat Microsoft von Januar 2021 bis September 2021 gewartet, bis der Enforcement-Mode verpflichtend per Patch gesetzt wurde. Kurzfristig ist es sicherlich vertretbar, die Maßnahme temporär durchzuführen, um die Anwender wieder drucken zu lassen.

Beachtet aber die Ausführungen Microsofts im Supportbeitrag KB5005652 – Verwalten des Installationsverhaltens für neuen Point- und Print-Treiber (CVE-2021-34481). Dort wird die Prüfung dass rpcAuthnLevelPrivacyEnabled auf 1 festgelegt ist, empfohlen.

Die obigen Ausführungen stellen einen schnellen Abriss der aktuellen Situation dar, um wieder drucken zu können. Es ist aber auch klar, dass im Anschluss eine dauerhafte Lösung her muss, um die obigen Workarounds wieder zurücknehmen zu können. Vielleicht hilft es aber trotzdem weiter.

Nachtrag: Bei heise gibt es inzwischen diesen Beitrag mit der gleichen Übersicht von mir.

Ähnliche Artikel
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher
Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien
Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
Windows PrintNightmare, neue Runde mit CVE-2021-36958
Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server
Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle für Angriffe
Microsofts macht bei PrintNightmare auf „schlanker Fuß"
Windows: PrintNightmare-Nachlese und Stand (27. August 2021)
Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster
Windows PrintNightmare: Microsoft bestätigt Probleme nach Sept. 2021-Update
Windows September 2021-Update: Workaround für Druckprobleme

Patchday: Windows 10-Updates (14. September 2021)
Patchday: Windows 8.1/Server 2012-Updates (14. September 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (14. September 2021)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Problemlösung, Update, Windows abgelegt und mit Drucken, Probleme, Sicherheit, Update, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Windows-PrintNightmare: Stand, Probleme und Workarounds (22. Sept. 2021)

  1. Nico R sagt:

    In dem Artikel steht mehrfach rpcAuthnLevelPrivacyEnable. Bitte berichtigen mit rpcAuthnLevelPrivacyEnabled, ansonsten klappt es natürlich nicht.

    Bei BleepingComputer gibt es auch einen RegFix: https://download.bleepingcomputer.com/reg/fix-0x0000011b.reg

  2. WillyWurm sagt:

    SamsungUniversalPrintDriver3 3.0.15.0 (29. Nov. 2019) sind auch davon betroffen und benötigen den Workaround

  3. MK sagt:

    Gibt es einen aktualisierten Universal-Treiber für UTAX-Geräte? Weiß das jemand? Auf der Webseite sind die Teils von 2017 und älter.

    • DvD sagt:

      Einfach beim Support melden, wenn die Geräte noch unter Wartung stehen. Allerdings sind bei uns alle Geräte erst ein paar Jahre alt. Je nach Modell evtl. keine Unterstützung mehr.

    • TomTom sagt:

      Moin

      welchen Universal Treiber?
      Die Mini Treiber werden schon lange nicht mehr weiter entwickelt.
      Den KX Treiber gibt es in 2 (3) Fassungen:
      – Modell spezifisch, aber "relativ" klein mit ca 40MB
      – Universal für "alle", außer die neuen xx08ci Modelle, aber knapp 110MB groß

      Der Uni-KX Treiber ist verfügbar wenn man zB bei der 3207ci schaut und den nimmt.

      Dort gibt es auch den v4 Treiber ( KX XPS Print Driver (KXv4) ).
      Aber leider wird nicht alles was eine große Maschine kann unterstützt.
      Zudem leider auch niht die neuen xx08ci Maschinen nativ.
      Workaround hierfür ist die Vorgänger zu nehmen bei der Auswahl (statt 2508ci die 2507ci).

      Aber es ist von der Oberfläche her ein KX Treiber.

      Mein Senf

  4. Christoph sagt:

    Danke für den Tip mit dem RpcAuthnLevelPrivacyEnabled, damit konnte ich kurzfristig den 0x0000011b Fehler lösen!

    • Stefan sagt:

      Ebenfalls. Läuft nun auf allen Rechnern mit allen Druckern/Druckertreibern. Echt nicht schön wenn MS solche Änderungen macht ohne das man es in den "Medien" vorher lesen könnte (zumindest wäre mir hier, bei Golem/Heise/CB/Ars/etc nichts dergleichen aufgefallen).

      Gibts eigentlich einen MicrosoftBlog der über solche Neuigkeiten bescheid gibt?

      edit: und damit meine ich nicht Günni ;-)

  5. Dominic sagt:

    Ich finde das sehr amüsant wie schnell manche die Updates, Fixes und Workarounds von Microsoft anwenden. Also würden wir im Krankenhaus so vorgehen, naja kannst den Laden dicht machen.

    Wir warten zwischen 2 bis 3 Monate ab, ehe wir die Updates vom wsus freigegeben. Besonders die Net Framework Updates sorgen auch mal dafür, dass die Medizinischen Anwendungen gar nicht mehr laufen.

    Aber wie sagt man learning by doing

    • Günter Born sagt:

      Hm, so platt, wie Du das formuliert hast, würde ich persönlich da keine Unterschrift drunter setzen.

      Zu deinem letzten Satz: Ich hoffe mal für euch, dass dieser Kelch an euch vorbei geht. Habe es noch auf der Agenda: Als die ProxyLogon-Schwachstelle bei Exchange ruchbar wurde, reichte der APT-Gruppe FamousSoarrow ein Tag für einen Exploit …

      • Dominic sagt:

        ProxyLogon-Schwachstelle bei Exchange haben wie sehr schnell behandelt. Natürlich unterscheiden wir erheblich welche Lücken schnell zu stopfen sind. Aber den ganzen Drucker Mist haben wir uns nicht angetan. Mit dem Kyocera und Utax Problem sind wir schon verschont geblieben.
        Würden wir die jetzigen Fixes zum „Windows-PrintNightmare" anwenden hätten wir Probs. mit unseren Zebra Labeldrucker welche sich dann bei User nichtmehr Mappen lassen. Gibt's zwar auch eine Lösung mit einem Reg-Eintrag aber dies schafft auch wieder eine Hintertür.

    • riedenthied sagt:

      Ich finde es eher amüsant, dass man in der heutigen Zeit noch so arbeiten kann. Da muss man schon ein wenig Glück haben, dass da nix passiert. Aber natürlich muss das jede IT selbst entscheiden.

      Letztlich zeigt das aber nur die Qualität der Softwareprodukte, wenn die sich von solchen Patches gleich abschießen lassen. Aber da erwarte ich auch ehrlich gesagt nichts mehr, ich habe in den letzten Jahren so unfassbar viel schlechte Software gesehen. Dafür ist nicht Microsoft verantwortlich, sondern die ganzen Frickelbuden da draußen.

      • Dominic sagt:

        Frickelbuden!
        Dedalus Healthcare Group, Siemens Healthcare etc. sind keine kleinen Häuser. Aber so sieht eben die Realität aus. Wir können nicht jede Aktualisierung einfach freigeben, weil es erhebliche Nebeneffekte haben kann. Ein Krankenhaus lässt sich auch sehr gut mit Microsoft Updates lahmlegen.

        Zur TI halte ich lieber meine Klappe, dass ist eher eine Katastrophe. Naja Politisch gewollter scheiß…

        • riedenthied sagt:

          Die Größe spielt bei den Frickelbuden keine Rolle. Wir setzen diverse Software-Produkte ein, die einen 5-stelligen, teilweise einen 6-stelligen Eurobetrag kosten (+20% für jährliche Wartung). Und was bekommt man da ganz oft geliefert? Frickelware. Oder Schrott kann man es auch nennen. Ich habe schon die tollsten Dinge erlebt, z.B. Linux-Software, die mit einem 20 Jahre alten Cygwin unter Windows zum Laufen gebastelt wurde. Die Software kostete damals ca. 35.000 Euro.

  6. Andreas K. sagt:

    Deshalb bin ich für Günters Blog dankbar. Hier liest man Sachen, die sonst nur bei Kenntnis der speziellen (MS-)Seiten auffallen. Zumal ich lieber deutsch lese als englisch.
    PS: irgendwo muß aber bei Server2012R2 der Patch woanders wirken, denn bei mir gibt es keinen Eintrag "rpcAuthnLevelPrivacyEnabled=1" , ich konnte trotzdem nicht drucken. Erst das Erstellen des Schlüssels mit =0 behob das Problem.

Schreibe einen Kommentar zu Stefan Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.