Windows Oktober 2021-Updates: PrintNightmare-Stand und Netzwerk-Druckprobleme

Windows[English]Zum 12. Oktober 2021 hat Microsoft neue Schwachstellen im Umfeld der als PrintNightmare bekannten Sicherheitslücken per Update adressiert. Daher ein kurzer Blick auf das betreffende Thema, welches auch weiterhin nicht vom Tisch ist. Zudem kristallisiert sich heraus, dass durch das Oktober 2021-Updates für Windows erneut Druckprobleme bei Netzwerkdruckern auftreten. Auch dazu gibt es einen groben Überblick. Ergänzung: Microsoft hat bestimmte Druckprobleme gerade bestätigt.


Anzeige

Druckprobleme nach Oktober 2021-Update

Die Windows-Updates vom 12. Oktober 2021 führen bei einigen Anwendern zu neuen Problemen mit der Druckausgabe. Das Update KB5006670 für Windows 10 Version 2004 bis 21H1 unterbricht die Möglichkeit von einem Client auf einem Windows Server zu drucken. Blog-Leser Christian hat es in diesem Kommentar angesprochen: Kb5006670 führt auf Clients installiert dazu, dass man nicht mehr über einen Server Drucken kann. Zum Blog-Beitrag Patchday: Windows 10-Updates (12. Oktober 2021) gab es zudem eine Reihe weiterer Rückmeldungen über Druckprobleme. Blog-Leser Liam hat das Thema in diesem Kommentar angesprochen:

Hatte auch schon jemand Probleme mit Netzwerkdruckern, die auf einem Server installiert sind, nach dem Update KB5006670? Drucker ließen sich nicht erneut installieren da nach Credentials gefragt wurden. Selbst bei korrekter Eingabe keine Chance.. Update deinstalliert danach funktionierte die Verbindung sofort :)

Das Problem wird von weiteren Lesern bestätigt. Blog-Leser Marco weist in diesem Kommentar darauf hin, dass es nach seinen Erfahrungen derzeit nur Rechner in Arbeitsgruppen ohne Actice Directory-Einbindung betrifft. Er schreibt dazu folgendes:

Bisher gibt es als Workaround nur die Möglichkeit das Update komplett zu deinstallieren oder die win32spl.dll im System32-Ordner durch eine ältere zu ersetzen (beispielsweise mit der September Version 10.0.19041.1237. Im Bleeping Computer-Forum ist ein Skript zu finden, mit dem man die DLL leicht austauschen kann. Man muss im Skript bei einem deutschen Windows die „icacls" Zeile anpassen und „Administratoren" verwenden statt „builtin\administrators".

Vielleicht hilft das jemanden weiter – obwohl der Austausch der DLLs in Unternehmensumgebungen eher nicht so das Gelbe vom Ei ist. Die im Blog-Beitrag Windows-PrintNightmare: Stand, Probleme und Workarounds (22. Sept. 2021) aufgeführten Registrierungseinträge scheinen diesmal nicht zu greifen.

Bestätigung der Probleme durch Microsoft

Ergänzung: Microsoft hat bestimmte Druckprobleme gerade im Windows-Statusbereich in diversen Know-Issues-Abschnitten bestätigt. Im Artikel Custom printing properties might not be correctly provided to print server clients heißt es:

After installing KB5005611 on a print server, printing properties defined on that server might not be correctly provided to clients. Note this issue is specific to print servers and does not impact standard network printing. This issue will not cause printing operations to fail, however, custom settings defined on the server – for example, duplex print settings – will not be applied automatically, and clients will print with default settings only.

This issue results from an improper building of the data file which contains the printer properties. Clients which receive this data file will not be able to use the file content and will instead proceed with default printing settings. Clients who have previously received the settings package prior to the installation of KB5005611 are unaffected. Servers which use default print settings and have no custom settings to provide to clients are unaffected.

Note: The printer connection methods described in this issue are not commonly used by devices designed for home use. The printing environments affected by this issue are more commonly found in enterprises and organizations.

Workaround: IT administrators with admin privileges can still install printer drivers on the client through other means, such as copying packaged drivers from a known good package location. Additionally, clients can still be modified manually to adopt desired printer settings.

Das Problem betrifft alle Windows-Clients von Windows 7 SP1 bis Windows 10 21H1, sowie die jeweiligen Server-Pedants. Zudem führt die Seite noch den Fehler Installation of printers via Internet Printing Protocol (IPP) might not succeed auf.

After installing KB5005565, installation of printers using Internet Printing Protocol (IPP) might not complete successfully. Devices which had connected to and installed the printer prior to the installation of KB5005565 are unaffected and print operations to that printer will succeed as usual.

Dieses Problem betrifft die Windows 10-Clients 21H1, 20H2, 2004, 1809, 1909 und Windows 11 21H2 sowie Windows Server 20H2, 2004, 1809, 1909 und 2022.

PrintNightmare-Fixes vom Oktober 2021

Im kumulativen Update KB5006672 für Windows 10 Version 1809 hat Microsoft explizit angegeben, dass ein Problem beim Bereitstellen der Treiber für Internet-Drucker korrigiert wurde (siehe auch Patchday: Windows 10-Updates (12. Oktober 2021)). Beim Update KB5006675 für die RTM-Version von Windows 10 wurde dagegen die Gruppenrichtlinieneinstellung für Point-and-Print (RestrictDriverInstallationToAdministrators) erstmals implementiert.

Addresses an issue that prevents an internet print server from properly packaging modified printer properties before sending the package to the client.

Vom Sicherheitsanbieter Tenable habe ich zudem per Mail den Hinweis erhalten, dass Microsoft zum Oktober 2021 erneut eine Spoofing-Schwachstelle CVE-2021-36970 mit den Windows-Updates in Windows 7 bis Windows 10 sowie den Server-Pendants geschlossen habe.


Anzeige

Das aktuelle Release enthält eine Korrektur für CVE-2021-36970, eine Spoofing-Schwachstelle im Windows Print Spooler von Microsoft. Die Forscher XueFeng Li und Zhiniang Peng von Sangfor haben diese Schwachstelle entdeckt. Ihnen wird auch die Entdeckung von CVE-2021-1675 zugeschrieben, einer von zwei Sicherheitslücken, die als PrintNightmare bekannt sind. Obwohl noch keine Details über die Schwachstelle bekannt gegeben wurden, sollte man diese auf jeden Fall im Auge behalten, da im Laufe des Sommers immer mehr Schwachstellen im Zusammenhang mit Print Spooler gepatcht wurden. Zeitgleich begannen Ransomware-Gruppen damit, PrintNightmare in ihr Affiliate-Drehbuch aufzunehmen. Wir empfehlen Unternehmen dringend, diese Patches so schnell wie möglich zu installieren. Microsoft hat außerdem die Sicherheitslücke CVE-2021-40449 gepatcht, eine Schwachstelle in Win32k, die eine Erhöhung der Zugriffsrechte ermöglicht. Berichten zufolge wurde diese Schwachstelle bereits von Angreifern als Zero-Day ausgenutzt. Es ist nicht ungewöhnlich, dass Zero-Day-Schwachstellen mit erhöhten Zugriffsrechten am Patch Tuesday gepatcht werden. Diese Schwachstellen sind am wertvollsten in Szenarien nach der Kompromittierung, wenn ein Angreifer sich auf anderem Wege Zugang zu einem Zielsystem verschafft hat, um Code mit erhöhten Rechten auszuführen.

Damit haben Administratoren die Wahl zwischen Pest und Cholera: Entweder nicht drucken können oder die Sicherheitsupdates vom Oktober 2021 wieder zu deinstallieren.

Ähnliche Artikel
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher
Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien
Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
Windows PrintNightmare, neue Runde mit CVE-2021-36958
Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server
Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle für Angriffe
Microsofts macht bei PrintNightmare auf „schlanker Fuß"
Windows: PrintNightmare-Nachlese und Stand (27. August 2021)
Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster
Windows PrintNightmare: Microsoft bestätigt Probleme nach Sept. 2021-Update
Windows September 2021-Update: Workaround für Druckprobleme
Windows-PrintNightmare: Stand, Probleme und Workarounds (22. Sept. 2021)
Tipp: Windows PrintNightmare-Testtools für Administratoren
Microsoft bestätigt Windows-Netzwerkdruckproblem nach Oktober 2021-Updates

Patchday: Windows 10-Updates (12. Oktober 2021)
Patchday: Windows 8.1/Server 2012-Updates (12. Oktober 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (12. Oktober 2021)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Update, Windows abgelegt und mit Drucken, Patchday 10.2021, Probleme, Update, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu Windows Oktober 2021-Updates: PrintNightmare-Stand und Netzwerk-Druckprobleme

  1. Andreas H. sagt:

    Hallo zusammen,

    wir haben unsere Gruppenrichtlinien wie in diesem (auch hier im Blog schon mal verlinkten) Beitrag eingerichtet und keine Probleme mehr mit den Admin-Credentials bei einer Netzwerkdruckerinstallation.

    https://www.gruppenrichtlinien.de/artikel/printnightmare-3-richtlinien-werden-benoetigt

    Falls die Admin-Credentials bei der Installation abgefragt werden scheitert die Installation übrigens gar nicht, der Drucker wird schon erfolgreich installiert, aber leider nur im Admin-Profil :-)

    Viele Grüße
    Andreas

  2. Marco sagt:

    Seit heute laufen die Oktober-Updates produktiv auf Terminalservern mit Windows Server 2012R2 und 2019. Keine Probleme bislang.

    Im August hatte ich die einiges per GPO angepasst, das ziemlich dem entspricht, was Mark Heitbrink beschreibt:
    https://www.gruppenrichtlinien.de/artikel/printnightmare-3-richtlinien-werden-benoetigt

    • Hobbyadmin sagt:

      Nach meinem Laienverständnis macht das Deaktivieren von "RestrictDriverInstallationToAdministrators" eigentlich einer der Lücken einfach nur wieder auf, die durch all die Updates von Microsoft geschlossen werden will, eine echte Lösung ist das also wohl eher nicht.

      • Andreas H. sagt:

        Das ist nur halb richtig, durch die anderen Restriktionen werden nur Druckertreiber vom spezifizierten Server installiert. Solange der Druckserver nicht kompromittiert ist sollte nichts passieren.

        • Peter sagt:

          Das konnte man in der Form schon seit Urzeiten haben.
          Wer das noch nicht hatte, sollte kein Admin sein.
          Deswegen finde ich die Aktion von Microsoft äußerst fragwürdig, da hätten Sie besser eine gefüllte Trusted Server List forciert.
          Aber wahrscheinlich kollidiert damit das Enterprise-Interesse mit 3 Home-Usern, die dann nicht mehr klar kommen.

    • DIRK sagt:

      Hallo , Update heute durchgeführt …. lexware Kassenbuch geht nicht mehr auf mein warenwirtschaftsprogram ist schleichend langsam geworden und ich kann den Rechner nicht mehr normal runter fahren … Vielen Dank

  3. Rene sagt:

    Wir haben gestern von Brother ein Update eingespielt. Keine Probleme mehr

  4. Michael B. sagt:

    Mir werden aus zahlreichen Umgebungen auch wieder Druckerprobleme berichtet. Mich kotzt das langsam an, was Microsoft da veranstaltet. Heute wieder Meldung, dass ein Windows 2012 Printserver nicht mehr von den Clients angesprochen werden kann, weil kein Zugriff auf die Treiber mehr möglich ist.

  5. janil sagt:

    Also keine wirkliche Änderung, was für eine traurige Veranstaltung und ihr Azure haben sie auch nicht vernünftig am laufen.
    Also bleibt alles beim Alten.

  6. Klaus sagt:

    Ich habe das Serverupdate jetzt erst mal im WSUS geblockt. Sobald es auf unseren 2019er Terminalservern installiert wird, lässt sich kein Drucker mehr installieren. Weder als Benutzer noch als Admin.

    Also werden wir dieses Update wohl überspringen und hoffen, dass der Fehler im nächten behoben ist.

  7. Mark Heitbrink sagt:

    Icacls kann SID .. diese Nichtskönner … :-D #bleepingscript

    • Stefan Kanthak sagt:

      AMEN!
      Es ist latürnich noch VIEL schlimmer: nur VÖLLIG ahnungslose Frickler verbiegen Zugriffsrechte oder Eigentümer NOT- und GRUNDLOS per ICACLS.exe und TAKEOWN.exe.
      Richtige Administratoren nutzen entweder das (erst 26 Jahre alte) SetupAPI, beispielsweise mittels einer *.INF, oder die noch älteren Privilegien "Backup" & "Restore"!

  8. Peter xyz sagt:

    Die Druckwarteschlange ist voll, lässt sich nicht löschen, gedruckt wird nicht.
    Wieder einmal………..
    Netzwerkdrucker/Win 10

  9. Harald12345 sagt:

    Tut mir leid, aber ich verstehe sowas nicht. Testen die Ihre Updates nicht? Oder warten die wirklich bis Rückmeldungen vom Kunden kommen. Meines Wissens bin ich nicht bei Microsoft angestellt.
    Ich bin nur froh das ich von allen Rechnern (5 die Updates bekommen) immer ein Backup VOR dem Updaten mache. Die durfte ich gestern alle zurück spielen.

    Win7 Ultimate/Pro

  10. redznarf sagt:

    Wenn ich die GPO Computerkonfiguration \ Administrative Vorlagen\Drucker \ "Point-and-Print für Pakete – Genehmigte Server" konfiguriere dann wird zwar etwas installiert, aber die GUI (v4 Treiber) für die Druckeinstellungen fehlt. Wird die von einen anderen Quelle (aus dem Internet) gezogen?
    Eigentlich habe ich bisher v4 Treiber für Drucker gemieden (können weniger), aber der neue HP Universal Plottertreiber ist nun v4, und beim alten v3 bekomme ich eine Warnung, dass ich updaten soll.

  11. Wolfgang Ströhlein sagt:

    Hallo zusammen,

    da wir ein SIEM im Einsatz haben, ist mir aufgefallen, dass seit dem Installieren des Oktober Updates auf unserem Printserver (Windows Server 2016) im Hintergrund eine wahnsinnige Anzahl von Failed logons geloggt werden.

    Domänenweit haben wir eigentlich NTLM schon länger deaktiviert (GPO COMPUTER\WINDOWS-EINSTELLUNGEN\LOKALE RICHTLINIEN\SICHERHEITSOPTIONEN\Beschränken von NTLM-Authentifizierungen = ALLE VERWEIGERN)

    Aber seit dem Oktober-Update will die spoolsv.exe offenbar wieder NTLM Authentifizierungen, die abgelehnt werden… war bis dahin nicht so (bis zum Oktober Update). … Warum jetzt die Clients (Win10 ebenfalls nach Oktober-Update) da wieder NTLM Authentifizierung machen wollen … mir ein Rätsel. Würde aber auch die Probleme mit Netzwerkdrucker erklären. Bei ein paar Arbeitsplätzen hatte ich auch das Problem, dass die Netzwerkdrucker weg waren und für die Einrichtung dann eine Admin-Authentifizierung notwendig war (aber nur ganz vereinzelt..) … Aber wenn ich mir die Einträge im SIEM ansehe, wundert micht nix….

    Da ist scheinbar auch im Authentifizierungsbereich was auf NTLM zurückgeändert worden…

    Vielleicht konnte das Phänomen auch jemand anderes in der Runde beobachten?

    Grüße
    Wolfgang

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.