Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

PrintNightmare: Microsoft veröffentlicht außerplanmäßige Sicherheitsupdates

DrWindows

DrWindows

Redaktion
PrintNightmare: Microsoft veröffentlicht außerplanmäßige Sicherheitsupdates
Windows Sicherheit


In der letzten Woche wurde eine bislang unentdeckte Sicherheitslücke in Windows 10 und Windows Server öffentlich, die von den Entdeckern „PrintNightmare“ getauft wurde. Es handelt sich dabei um eine Schwachstelle im Druckerspooler-Dienst, über die Angreifer in fremde Systeme eindringen können. Nun hat Microsoft ein außerplanmäßiges Sicherheitsupdate veröffentlicht.

Das Update ist für alle Versionen von Windows 10 ab 1809 aufwärts erhältlich, für ältere Versionen wird laut diesem Artikel aber ebenfalls noch an Updates gearbeitet.


Außerdem empfiehlt Microsoft insbesondere Unternehmen, eine neue Sicherheitsrichtlinie zu aktivieren, die es ausschließlich Administratoren erlaubt, neue Druckertreiber zu installieren. Dies geschieht entweder per Gruppenrichtlinie oder über einen Eintrag in der Systemregistrierung. Details dazu finden sich in diesem Supportartikel: KB5005010: Restricting installation of new printer drivers. Die Richtlinie wird erst wirksam, wenn das oben erwähnte Sicherheitsupdate installiert wurde.

Siehe auch: PrintNightmare: Microsoft warnt vor Sicherheitslücke in Windows und veröffentlicht Workaround


Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.

Artikel im Blog lesen
 
Anzeige
Früher wurde bei Dr. Windows regelmäßig ein "AV-Test" veröffentlicht. Warum ist das nicht mehr der Fall?
Man konnte immer gut den MS-Defender mit anderen Sicherheitsprogrammen vergleichen.
 
Ich bekomme dieses unsägliche Update nur auf einem von drei PC's installiert. Die anderen beiden erhalten am laufenden Band die Fehlermeldung 0x800f0984. Die manuelle Installation mit der .msu-Datei misslingt ebenfalls. :eek:
 
Nach dem heutigen kumulativen Update KB5004945 ist die Meldung für das optionale Update verschwunden.

Und dafür hab ich jetzt sofort Bluescreen "Es ist ein Fehler aufgetreten" :mad:
 
Zuletzt bearbeitet:
Hier ist es eingeschlagen
www.mz.de

Rund 120 Rechner nach Hacker-Angriff verschlüsselt - Landkreis Anhalt-Bitterfeld stellt Strafanzeige

<strong>Köthen/MZ</strong> - Nachdem der Landkreis Anhalt-Bitterfeld am Dienstag Opfer eines Hacker-Angriffs geworden ist, wird nun das Ausmaß erst richtig klar: Rund 120 Rechner sind wohl betroffen, gesperrt und verschlüsselt worden.
www.mz.de www.mz.de
Die Hacker sind offensichtlich über eine Sicherheitslücke von Microsoft in die Server des Landkreises vorgedrungen. Das deutete der Landkreis-Sprecher gegenüber dem MDR an. Die Lücke war vor einigen Tagen öffentlich geworden. Sie betrifft das Microsoft Druckersystem der Windows-Versionen 7 bis Windows 10 und trägt den Namen „PrintNightmare“. Am Mittwoch wurde den Nutzern ein Update zur Verfügung gestellt. „Für uns einen Tag zu spät“, so Udo Pawelczyk.
Zum Vergrößern anklicken....
 
Angriff gelingt nur von innen. Vielleicht wurde ein Mitarbeiter dazu gebracht das Falsche auszuführen.


This behavior is by design. The attack vector and protections in CVE-2021-34527 reside in the code path that installs a printer driver to a Server. The workflow used to install a printer driver from a trusted print server on a client computer uses a different path.
Zum Vergrößern anklicken....
Wo kommt das denn in der Praxis vor? Der Client installiert einen Treiber auf dem Server???

Ich kenne nur den Fall, daß sich der Client den Treiber vom Server holt. Das Problem gibt's aber in diesem Fall gar nicht.
 
Und wieder Bluescreen mit Fehlermeldung

Wenn das so weiter geht, muß ich das letzte Update probeweise deinstallieren.
 
Kann jetzt der Workaround rückgängig gemacht werden? Nach einer Neuinstallation wäre er ja auch nicht gesetzt.
 
Webwatcher schrieb:
Bin im falschen Thread gelandet

Es ist kein Workaround sondern seit heute das kumulative Update KB5004945 gelaufen ist.
Das optionale Update hatte ich schon deinstalliert.


Wollte eigentlich hier posten

Windows 10: Optionales Update für alle aktuellen Versionen bringt Fehlerbehebungen

Die Fehlermeldung hatte ich auch gerade. Eine Updatesuche im Defender hat geholfen.
www.drwindows.de www.drwindows.de
Zum Vergrößern anklicken....
Es gab einen Workaround. Die Frage bleibt also, ob er nun wieder rückgängig zu machen ist.
 
Verstehe nicht was du meinst. Jedes (normale) Update läßt sich deinstallieren. Mußte ich z.B. vor einigen Monaten machen um wieder drucken zu können...

Edit:
Ich glaube du meinst manuelle Änderungen am System um das Problem zu vermeiden. Weiß jetzt nicht mehr genau was das war, sollte möglich sein.
 
ntoskrnl schrieb:
Angriff gelingt nur von innen. Vielleicht wurde ein Mitarbeiter dazu gebracht das Falsche auszuführen
Zum Vergrößern anklicken....
Als ich als Laie über das gefühlte Horror-Szenario las war auch mein Gedanke: "was läuft da, Defender meldete keine Angriffe, von Telekom (Provider) und Brother (Hersteller Netzwerkdrucker) kommt auch nix, vielleicht doch nicht jeder Windows-Rechner mit Netzwerkdrucker betroffen oder löst der DAU-User vor dem Monitor/Tastatur überhaupt erst den Angriff aus?"
Daß eine staatliche Organisation mal wieder zu den Opfern zählte... (die Gedanken sind frei...)
 

CERT/CC Vulnerability Note VU#383432

Microsoft Windows Print Spooler allows for RCE via AddPrinterDriverEx()
www.kb.cert.org www.kb.cert.org
By sending a request to add a printer, e.g. by using RpcAddPrinterDriverEx() over SMB or RpcAsyncAddPrinterDriver() over RPC, a remote, authenticated attacker may be able to execute arbitrary code with SYSTEM privileges on a vulnerable system. A local unprivileged user may be able to execute arbitrary code with SYSTEM privileges as well.
Zum Vergrößern anklicken....

Durch Senden einer Anfrage zum Hinzufügen eines Druckers, z.B. Durch die Verwendung von RpcAddPrinterDriverEx() über SMB oder RpcAsyncAddPrinterDriver() über RPC kann ein authentifizierter Remote-Angreifer möglicherweise beliebigen Code mit SYSTEM-Rechten auf einem anfälligen System ausführen. Ein lokaler unprivilegierter Benutzer kann möglicherweise auch beliebigen Code mit SYSTEM-Rechten ausführen.
Zum Vergrößern anklicken....
Ein Artikel, der eine mögliche "open door" erklärt,. darunter die deutsche (Google) Übersetzung .
 
Zuletzt bearbeitet:
Würde immer noch gerne Wissen warum jeder Benutzer aus der Ferne auf dem Server einen Druckertreiber installieren kann.
Was ist der Hintergrund?
 
ntoskrnl schrieb:
Verstehe nicht was du meinst. Jedes (normale) Update läßt sich deinstallieren. Mußte ich z.B. vor einigen Monaten machen um wieder drucken zu können...

Edit:
Ich glaube du meinst manuelle Änderungen am System um das Problem zu vermeiden. Weiß jetzt nicht mehr genau was das war, sollte möglich sein.
Zum Vergrößern anklicken....
Genau, es geht um die Richtlinie „Annahme von Clientverbindungen zum Druckspooler zulassen“, die man auf „Deaktiviert“ setzen sollte. Zu finden unter Computerkonfiguration \ Administrative Vorlagen \ Drucker.

Kann die nun wieder auf den Standardwert?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben