Windows Oktober 2021-Updates: PrintNightmare-Stand und Netzwerk-Druckprobleme

Windows[English]Zum 12. Oktober 2021 hat Microsoft neue Schwachstellen im Umfeld der als PrintNightmare bekannten Sicherheitslücken per Update adressiert. Daher ein kurzer Blick auf das betreffende Thema, welches auch weiterhin nicht vom Tisch ist. Zudem kristallisiert sich heraus, dass durch das Oktober 2021-Updates für Windows erneut Druckprobleme bei Netzwerkdruckern auftreten. Auch dazu gibt es einen groben Überblick. Ergänzung: Microsoft hat bestimmte Druckprobleme gerade bestätigt.

Druckprobleme nach Oktober 2021-Update

Die Windows-Updates vom 12. Oktober 2021 führen bei einigen Anwendern zu neuen Problemen mit der Druckausgabe. Das Update KB5006670 für Windows 10 Version 2004 bis 21H1 unterbricht die Möglichkeit von einem Client auf einem Windows Server zu drucken. Blog-Leser Christian hat es in diesem Kommentar angesprochen: Kb5006670 führt auf Clients installiert dazu, dass man nicht mehr über einen Server Drucken kann. Zum Blog-Beitrag Patchday: Windows 10-Updates (12. Oktober 2021) gab es zudem eine Reihe weiterer Rückmeldungen über Druckprobleme. Blog-Leser Liam hat das Thema in diesem Kommentar angesprochen:

Hatte auch schon jemand Probleme mit Netzwerkdruckern, die auf einem Server installiert sind, nach dem Update KB5006670? Drucker ließen sich nicht erneut installieren da nach Credentials gefragt wurden. Selbst bei korrekter Eingabe keine Chance.. Update deinstalliert danach funktionierte die Verbindung sofort :)

Das Problem wird von weiteren Lesern bestätigt. Blog-Leser Marco weist in diesem Kommentar darauf hin, dass es nach seinen Erfahrungen derzeit nur Rechner in Arbeitsgruppen ohne Actice Directory-Einbindung betrifft. Er schreibt dazu folgendes:

Bisher gibt es als Workaround nur die Möglichkeit das Update komplett zu deinstallieren oder die win32spl.dll im System32-Ordner durch eine ältere zu ersetzen (beispielsweise mit der September Version 10.0.19041.1237. Im Bleeping Computer-Forum ist ein Skript zu finden, mit dem man die DLL leicht austauschen kann. Man muss im Skript bei einem deutschen Windows die „icacls" Zeile anpassen und „Administratoren" verwenden statt „builtin\administrators".

Vielleicht hilft das jemanden weiter – obwohl der Austausch der DLLs in Unternehmensumgebungen eher nicht so das Gelbe vom Ei ist. Die im Blog-Beitrag Windows-PrintNightmare: Stand, Probleme und Workarounds (22. Sept. 2021) aufgeführten Registrierungseinträge scheinen diesmal nicht zu greifen.

Bestätigung der Probleme durch Microsoft

Ergänzung: Microsoft hat bestimmte Druckprobleme gerade im Windows-Statusbereich in diversen Know-Issues-Abschnitten bestätigt. Im Artikel Custom printing properties might not be correctly provided to print server clients heißt es:

After installing KB5005611 on a print server, printing properties defined on that server might not be correctly provided to clients. Note this issue is specific to print servers and does not impact standard network printing. This issue will not cause printing operations to fail, however, custom settings defined on the server – for example, duplex print settings – will not be applied automatically, and clients will print with default settings only.

This issue results from an improper building of the data file which contains the printer properties. Clients which receive this data file will not be able to use the file content and will instead proceed with default printing settings. Clients who have previously received the settings package prior to the installation of KB5005611 are unaffected. Servers which use default print settings and have no custom settings to provide to clients are unaffected.

Note: The printer connection methods described in this issue are not commonly used by devices designed for home use. The printing environments affected by this issue are more commonly found in enterprises and organizations.

Workaround: IT administrators with admin privileges can still install printer drivers on the client through other means, such as copying packaged drivers from a known good package location. Additionally, clients can still be modified manually to adopt desired printer settings.

Das Problem betrifft alle Windows-Clients von Windows 7 SP1 bis Windows 10 21H1, sowie die jeweiligen Server-Pedants. Zudem führt die Seite noch den Fehler Installation of printers via Internet Printing Protocol (IPP) might not succeed auf.

After installing KB5005565, installation of printers using Internet Printing Protocol (IPP) might not complete successfully. Devices which had connected to and installed the printer prior to the installation of KB5005565 are unaffected and print operations to that printer will succeed as usual.

Dieses Problem betrifft die Windows 10-Clients 21H1, 20H2, 2004, 1809, 1909 und Windows 11 21H2 sowie Windows Server 20H2, 2004, 1809, 1909 und 2022.

PrintNightmare-Fixes vom Oktober 2021

Im kumulativen Update KB5006672 für Windows 10 Version 1809 hat Microsoft explizit angegeben, dass ein Problem beim Bereitstellen der Treiber für Internet-Drucker korrigiert wurde (siehe auch Patchday: Windows 10-Updates (12. Oktober 2021)). Beim Update KB5006675 für die RTM-Version von Windows 10 wurde dagegen die Gruppenrichtlinieneinstellung für Point-and-Print (RestrictDriverInstallationToAdministrators) erstmals implementiert.

Addresses an issue that prevents an internet print server from properly packaging modified printer properties before sending the package to the client.

Vom Sicherheitsanbieter Tenable habe ich zudem per Mail den Hinweis erhalten, dass Microsoft zum Oktober 2021 erneut eine Spoofing-Schwachstelle CVE-2021-36970 mit den Windows-Updates in Windows 7 bis Windows 10 sowie den Server-Pendants geschlossen habe.

Das aktuelle Release enthält eine Korrektur für CVE-2021-36970, eine Spoofing-Schwachstelle im Windows Print Spooler von Microsoft. Die Forscher XueFeng Li und Zhiniang Peng von Sangfor haben diese Schwachstelle entdeckt. Ihnen wird auch die Entdeckung von CVE-2021-1675 zugeschrieben, einer von zwei Sicherheitslücken, die als PrintNightmare bekannt sind. Obwohl noch keine Details über die Schwachstelle bekannt gegeben wurden, sollte man diese auf jeden Fall im Auge behalten, da im Laufe des Sommers immer mehr Schwachstellen im Zusammenhang mit Print Spooler gepatcht wurden. Zeitgleich begannen Ransomware-Gruppen damit, PrintNightmare in ihr Affiliate-Drehbuch aufzunehmen. Wir empfehlen Unternehmen dringend, diese Patches so schnell wie möglich zu installieren. Microsoft hat außerdem die Sicherheitslücke CVE-2021-40449 gepatcht, eine Schwachstelle in Win32k, die eine Erhöhung der Zugriffsrechte ermöglicht. Berichten zufolge wurde diese Schwachstelle bereits von Angreifern als Zero-Day ausgenutzt. Es ist nicht ungewöhnlich, dass Zero-Day-Schwachstellen mit erhöhten Zugriffsrechten am Patch Tuesday gepatcht werden. Diese Schwachstellen sind am wertvollsten in Szenarien nach der Kompromittierung, wenn ein Angreifer sich auf anderem Wege Zugang zu einem Zielsystem verschafft hat, um Code mit erhöhten Rechten auszuführen.

Damit haben Administratoren die Wahl zwischen Pest und Cholera: Entweder nicht drucken können oder die Sicherheitsupdates vom Oktober 2021 wieder zu deinstallieren.

Ähnliche Artikel
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher
Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien
Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
Windows PrintNightmare, neue Runde mit CVE-2021-36958
Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server
Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle für Angriffe
Microsofts macht bei PrintNightmare auf „schlanker Fuß"
Windows: PrintNightmare-Nachlese und Stand (27. August 2021)
Patchday-Nachlese Sept. 2021: Neues PrintNightmare-Fix-Desaster
Windows PrintNightmare: Microsoft bestätigt Probleme nach Sept. 2021-Update
Windows September 2021-Update: Workaround für Druckprobleme
Windows-PrintNightmare: Stand, Probleme und Workarounds (22. Sept. 2021)
Tipp: Windows PrintNightmare-Testtools für Administratoren
Microsoft bestätigt Windows-Netzwerkdruckproblem nach Oktober 2021-Updates

Patchday: Windows 10-Updates (12. Oktober 2021)
Patchday: Windows 8.1/Server 2012-Updates (12. Oktober 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (12. Oktober 2021)

Dieser Beitrag wurde unter Update, Windows abgelegt und mit Drucken, Patchday 10.2021, Probleme, Update, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

27 Antworten zu Windows Oktober 2021-Updates: PrintNightmare-Stand und Netzwerk-Druckprobleme

  1. Andreas H. sagt:

    Hallo zusammen,

    wir haben unsere Gruppenrichtlinien wie in diesem (auch hier im Blog schon mal verlinkten) Beitrag eingerichtet und keine Probleme mehr mit den Admin-Credentials bei einer Netzwerkdruckerinstallation.

    https://www.gruppenrichtlinien.de/artikel/printnightmare-3-richtlinien-werden-benoetigt

    Falls die Admin-Credentials bei der Installation abgefragt werden scheitert die Installation übrigens gar nicht, der Drucker wird schon erfolgreich installiert, aber leider nur im Admin-Profil :-)

    Viele Grüße
    Andreas

  2. Marco sagt:

    Seit heute laufen die Oktober-Updates produktiv auf Terminalservern mit Windows Server 2012R2 und 2019. Keine Probleme bislang.

    Im August hatte ich die einiges per GPO angepasst, das ziemlich dem entspricht, was Mark Heitbrink beschreibt:
    https://www.gruppenrichtlinien.de/artikel/printnightmare-3-richtlinien-werden-benoetigt

    • Hobbyadmin sagt:

      Nach meinem Laienverständnis macht das Deaktivieren von "RestrictDriverInstallationToAdministrators" eigentlich einer der Lücken einfach nur wieder auf, die durch all die Updates von Microsoft geschlossen werden will, eine echte Lösung ist das also wohl eher nicht.

      • Andreas H. sagt:

        Das ist nur halb richtig, durch die anderen Restriktionen werden nur Druckertreiber vom spezifizierten Server installiert. Solange der Druckserver nicht kompromittiert ist sollte nichts passieren.

        • Peter sagt:

          Das konnte man in der Form schon seit Urzeiten haben.
          Wer das noch nicht hatte, sollte kein Admin sein.
          Deswegen finde ich die Aktion von Microsoft äußerst fragwürdig, da hätten Sie besser eine gefüllte Trusted Server List forciert.
          Aber wahrscheinlich kollidiert damit das Enterprise-Interesse mit 3 Home-Usern, die dann nicht mehr klar kommen.

    • DIRK sagt:

      Hallo , Update heute durchgeführt …. lexware Kassenbuch geht nicht mehr auf mein warenwirtschaftsprogram ist schleichend langsam geworden und ich kann den Rechner nicht mehr normal runter fahren … Vielen Dank

  3. Rene sagt:

    Wir haben gestern von Brother ein Update eingespielt. Keine Probleme mehr

  4. Michael B. sagt:

    Mir werden aus zahlreichen Umgebungen auch wieder Druckerprobleme berichtet. Mich kotzt das langsam an, was Microsoft da veranstaltet. Heute wieder Meldung, dass ein Windows 2012 Printserver nicht mehr von den Clients angesprochen werden kann, weil kein Zugriff auf die Treiber mehr möglich ist.

  5. janil sagt:

    Also keine wirkliche Änderung, was für eine traurige Veranstaltung und ihr Azure haben sie auch nicht vernünftig am laufen.
    Also bleibt alles beim Alten.

  6. Klaus sagt:

    Ich habe das Serverupdate jetzt erst mal im WSUS geblockt. Sobald es auf unseren 2019er Terminalservern installiert wird, lässt sich kein Drucker mehr installieren. Weder als Benutzer noch als Admin.

    Also werden wir dieses Update wohl überspringen und hoffen, dass der Fehler im nächten behoben ist.

  7. Mark Heitbrink sagt:

    Icacls kann SID .. diese Nichtskönner … :-D #bleepingscript

    • Stefan Kanthak sagt:

      AMEN!
      Es ist latürnich noch VIEL schlimmer: nur VÖLLIG ahnungslose Frickler verbiegen Zugriffsrechte oder Eigentümer NOT- und GRUNDLOS per ICACLS.exe und TAKEOWN.exe.
      Richtige Administratoren nutzen entweder das (erst 26 Jahre alte) SetupAPI, beispielsweise mittels einer *.INF, oder die noch älteren Privilegien "Backup" & "Restore"!

  8. Peter xyz sagt:

    Die Druckwarteschlange ist voll, lässt sich nicht löschen, gedruckt wird nicht.
    Wieder einmal………..
    Netzwerkdrucker/Win 10

  9. Harald12345 sagt:

    Tut mir leid, aber ich verstehe sowas nicht. Testen die Ihre Updates nicht? Oder warten die wirklich bis Rückmeldungen vom Kunden kommen. Meines Wissens bin ich nicht bei Microsoft angestellt.
    Ich bin nur froh das ich von allen Rechnern (5 die Updates bekommen) immer ein Backup VOR dem Updaten mache. Die durfte ich gestern alle zurück spielen.

    Win7 Ultimate/Pro

  10. redznarf sagt:

    Wenn ich die GPO Computerkonfiguration \ Administrative Vorlagen\Drucker \ "Point-and-Print für Pakete – Genehmigte Server" konfiguriere dann wird zwar etwas installiert, aber die GUI (v4 Treiber) für die Druckeinstellungen fehlt. Wird die von einen anderen Quelle (aus dem Internet) gezogen?
    Eigentlich habe ich bisher v4 Treiber für Drucker gemieden (können weniger), aber der neue HP Universal Plottertreiber ist nun v4, und beim alten v3 bekomme ich eine Warnung, dass ich updaten soll.

  11. Wolfgang Ströhlein sagt:

    Hallo zusammen,

    da wir ein SIEM im Einsatz haben, ist mir aufgefallen, dass seit dem Installieren des Oktober Updates auf unserem Printserver (Windows Server 2016) im Hintergrund eine wahnsinnige Anzahl von Failed logons geloggt werden.

    Domänenweit haben wir eigentlich NTLM schon länger deaktiviert (GPO COMPUTER\WINDOWS-EINSTELLUNGEN\LOKALE RICHTLINIEN\SICHERHEITSOPTIONEN\Beschränken von NTLM-Authentifizierungen = ALLE VERWEIGERN)

    Aber seit dem Oktober-Update will die spoolsv.exe offenbar wieder NTLM Authentifizierungen, die abgelehnt werden… war bis dahin nicht so (bis zum Oktober Update). … Warum jetzt die Clients (Win10 ebenfalls nach Oktober-Update) da wieder NTLM Authentifizierung machen wollen … mir ein Rätsel. Würde aber auch die Probleme mit Netzwerkdrucker erklären. Bei ein paar Arbeitsplätzen hatte ich auch das Problem, dass die Netzwerkdrucker weg waren und für die Einrichtung dann eine Admin-Authentifizierung notwendig war (aber nur ganz vereinzelt..) … Aber wenn ich mir die Einträge im SIEM ansehe, wundert micht nix….

    Da ist scheinbar auch im Authentifizierungsbereich was auf NTLM zurückgeändert worden…

    Vielleicht konnte das Phänomen auch jemand anderes in der Runde beobachten?

    Grüße
    Wolfgang

    • Günter Born sagt:

      Microsoft hat gerade das Drucken-Admin-Problem bestätigt und untersucht – ich versuche noch kurz was zu schreiben. Die blicken selbst nicht mehr durch, was Sache ist.

      Microsoft bestätigt Windows-Netzwerkdruckproblem nach Oktober 2021-Updates

    • Daniel Boeggering sagt:

      Hallo,

      ja bei uns treten die Probleme jetzt nach dem Nov Update auf.
      Auch wir können feststellen, dass der Printserver nun alle Anfragen per NTLM an den DC schickt?

      • Daniel Boeggering sagt:

        zur Info – mit dem gestern erschienen KB5007266 ist das NTLM vs Kerberos Problem nicht behoben, aber die maximale Auslastung vom lsass.exe ist nun behoben auf dem Printserver

    • Anonymous sagt:

      I observed in SIEM in my company that after patch update October, a strong increase of DC logs of NTLM Audit (id 8004) from many client computers to Print Servers. And also seen a strong associated (same computer client / user sources) increase of DC logs of 4776 (credential validation), audit_sucess. To this day there are a lot of both events. Sys department has not seen problems in printing; Yes, it came to them from users that by default the desired print settings were not available as that previously there were.

  12. Dr. Dorothee Rohmann sagt:

    Moin,
    seid einer Reihe von Tagen (Wochen) will mein PC keine Updates von Windows mehr installieren. Das letzte erfolgreich (?) installierte Update ist das September-Update:
    >>2021-09 Update für Windows 10 Version 20H2 für x64-basierte Systeme (KB4023057)
    Erfolgreich installiet am 08.10.2021.<<
    Seit dem hängt das Update bei ca. 96% und danach wird alles wieder rückgängig gemacht und nach 1-2 Tagen erneut in Angriff genommen – mit gleichem Resultat, nur dass ggffs weitere Updates sich in die Reihe einreihen.
    Versucht habe ich das wushowhide.diagcab um die "Störenden" auszulassen – nur mit mäßigem Erfolg: die beiden "Letzten" (KB5005539 und KB5006670) poppen immer wieder auf.
    So langsam nervt das ganze! Es tritt übrigens auch auf dem (seltener benutzten Laptop) auf.
    Zu meinem kleinen Home-Netzwerk:
    PC (LAN) – Intel(R) Core(TM) i3-2120 CPU @ 3.30GHz 3.30 GHz
    4GB RAM, 64-Bit Betriebssystem: Windows 10 PRO – 20H2 – 19042.1165
    Qnap – TS-212P (LAN)
    HP – 3833 – Netzdrucker (WLAN)
    Laptop – Lenovo T500 (WLAN) ebenfalls mit Windows 10

    Könnt ihr mir helfen, diese Probleme zu lösen? Ich würde mich sehr freuen.
    Mit freundlichen Grüßen,
    DoRo

    • Eugen sagt:

      Hallo DoRo,

      versucht bitte die Problembehandlung (gib einfach in der Windowssuche "Problembehandlung" ein und dann auf Windows Update)
      Wenn das nicht den Fehler beseitigt, kannst du auch ein von Microsoft ein Creation Tool runterladen und installieren, somit werden auch alle Updates nachgeholt.

      VG, Eugen

    • Winfried Gorny sagt:

      Ein ähnliches Problem auf dem Laptop meiner Frau. Die hat die winver 20H2 drauf und seit Oktober wird kein Update mehr installiert. Auch mit dem Windows Creation Tool ist ein Upgrade auf eine höhere Version mehr möglich. Das läuft durch und nach einem Neustart werden dann alle Änderungen rückgängig gemacht.

      Es handelt sich um einen HP-Laptop – alles aktuell, Treiber, BIOS… Der Läppi ist grade mal 2 Jahre alt…..

      Es wird wohl eine komplette Neuinstallation nötig werden….. MS – ein Haufen von Nichtskönnern…..

  13. Stefan sagt:

    Wir haben das CU Oktober auf den Testservern unserer Citrix CVAD 1912CU2 Umgebung (Windows Server 2016) installiert, alle anderen Server (inkl. Printserver) haben das CU September.
    Die GPOs bzw. Registrykeys zum September CU sind aktiviert.
    Nach der Installation konnte kein Anwender mehr von den Citrix Servern aus auf einen Netzwerkdrucker drucken. Beim Verbinden von Druckern konnte man sehen, dass der Druckertreiber installiert wurde, danach kam jedoch eine Meldung, dass keine Druckerverbindung möglich sei.
    Nach Rollback auf das Image mit CU September (Provisioning Services sei Dank) funktioniert das Drucken wieder einwandfrei.

    VG, Stefan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.