News PrintNightmare: Warnung vor Sicherheitslücke in Windows 7 bis 10 und Server
- Ersteller Jan
- Erstellt am
- Zur News: PrintNightmare: Warnung vor Sicherheitslücke in Windows 7 bis 10 und Server
Marcel55
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 17.650
Ich weiß nicht, warum Microsoft es mit den Druckern nie so richtig geschissen kriegt.
Mit meinem Netzwerkdrucker hab ich unter Windows 10 auch nur Probleme. Mal wird der Druckauftrag nicht übertragen, wenn man den Rechner nicht vorher neustartet. Mal funktioniert der Scanner nicht, und man muss das Gerät entfernen und neu hinzufügen. Und die Warteschlange ist auch verbuggt, wenn man etwas abbricht wird es trotzdem gedruckt oder auch gar nicht.
Für Windows 11 sollten die den ganzen Code in diesem Bereich am besten mal in die Tonne hauen und neu schreiben. Wenn ich schon das Druckerwarteschlangentool aus Windows ME Zeiten sehe ist alles klar...potentielle Sicherheitslücken sind da nur das I-Tüpfelchen.
Mit meinem Netzwerkdrucker hab ich unter Windows 10 auch nur Probleme. Mal wird der Druckauftrag nicht übertragen, wenn man den Rechner nicht vorher neustartet. Mal funktioniert der Scanner nicht, und man muss das Gerät entfernen und neu hinzufügen. Und die Warteschlange ist auch verbuggt, wenn man etwas abbricht wird es trotzdem gedruckt oder auch gar nicht.
Für Windows 11 sollten die den ganzen Code in diesem Bereich am besten mal in die Tonne hauen und neu schreiben. Wenn ich schon das Druckerwarteschlangentool aus Windows ME Zeiten sehe ist alles klar...potentielle Sicherheitslücken sind da nur das I-Tüpfelchen.
Inzwischen lief das Update KB5004945 doch bei allen Rechnern durch, alles ok.
Doch obwohl ich mir sonst jedes IT Problem einfange: Mit dem neuen HP Drucker im Netzwerk läuft alles bestens. Installation einfach (entgegen der 1000en negativen "Erfahrungsberichte" im Netz), Gerät ist immer bereit und wird von allen Rechnern sofort angesteuert, bzw. der Scan funzt auch von allen Systemen (Win u. Linux) aus. Selbst testweise von Win 7 Null Problemo.
Ist halt schwer zu sagen, an was es wirklich hakt.
Das tut mir leid.Marcel55 schrieb:
Doch obwohl ich mir sonst jedes IT Problem einfange: Mit dem neuen HP Drucker im Netzwerk läuft alles bestens. Installation einfach (entgegen der 1000en negativen "Erfahrungsberichte" im Netz), Gerät ist immer bereit und wird von allen Rechnern sofort angesteuert, bzw. der Scan funzt auch von allen Systemen (Win u. Linux) aus. Selbst testweise von Win 7 Null Problemo.
Ist halt schwer zu sagen, an was es wirklich hakt.
C
camlo
Gast
camlo schrieb:
https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-21h1#1647msgdesc
Wer hätte das gedacht. Langsam gewinne ich den eindruck ein Stück Brot kann mehr als Microsoft
konkretor
Vice Admiral
- Registriert
- März 2011
- Beiträge
- 6.590
N
NotNerdNotDau
Gast
konkretor schrieb:
Ich zitiere mal aus dem Artikel von borncity:
Es handelt sich offensichtlich nicht um die selbe Schwachstelle, sondern vermeintlich um eine andere.
Die scheint allerdings genauso exotisch zu sein wie die PrintNightmare und Privatnutzer werden wohl auch hiervon kaum betroffen sein.
Deshalb braucht man jetzt nicht schon wieder Panik verbreiten und alle sollten entspannt bleiben.
Borncity halt, der Heise-Ableger, was will man da schon anderes erwarten?
S
.Silberfuchs.
Gast
@NotNerdNotDau Das hat mit Panikmache aber nix mehr zu tun weil es unter seinen Lesern auch genug Systemadmins gibt für die es nun mal relevant ist.
Schade ist, dass sie dieses mal keinen Work-Around angegeben haben, außer den Spooler komplett zu deaktivieren.
Das habe ich bereits auf allen Servern außer dem Printserver gemacht, habe auch dem System User die Berechtigung auf den Drivers Ordner entzogen und die von Microsoft gewünschten Registry Keys gesetzt, kann ich noch mehr tun?
€dit: und natürlich alle verfügbaren Windows Updates installiert.
Das habe ich bereits auf allen Servern außer dem Printserver gemacht, habe auch dem System User die Berechtigung auf den Drivers Ordner entzogen und die von Microsoft gewünschten Registry Keys gesetzt, kann ich noch mehr tun?
€dit: und natürlich alle verfügbaren Windows Updates installiert.
N
NotNerdNotDau
Gast
Für Systemadmins in Unternehmen kann das ja auch relevant sein. Um die ging es mir aber nicht..Silberfuchs. schrieb:
S
.Silberfuchs.
Gast
@NotNerdNotDau Nein, dir ging es darum das es dir wie Panikmache vorkommt weil die erwähnte Lücke scheinbar eher exotischer Natur ist. Panikmache wäre es in meinen Augen erst dann wenn kaum von Born's Lesern davon betroffen ist. Da das aber eben nicht der Fall ist, wie ich oben schon geschrieben habe, weil eben zu seinem Lesern auch viele Leute mit IT-Hintergrund zählen und nicht nur Privatuser, habe ich das kritisiert.
N
NotNerdNotDau
Gast
Okay, dann mal zum Mitschreiben:.Silberfuchs. schrieb:
Da hat EINER bei Twitter ein Szenario bezüglich einer vermeintlichen Schwachstelle nachvollzogen.
Dann haben sich an anderer Stelle noch ein paar User aufgetan.
Da verfasst man dann einen Artikel und erwähnt aber nicht, dass dieses Szenario nur unter ganz bestimmten Umständen auftreten kann und differenziert auch nicht Privatnutzer und Unternehmen.
In dem nachfolgenden Kommentaren bei Borncity ist offensichtlich kein Einziger betroffen und auch bei keinem wurde die Schwachstelle offensichtlich bereits ausgenutzt.
Ja, das ist für mich Panikmache.
Hier wird dann der Link zu dem Artikel eingestellt, ohne auf die genannten Umstände hinzuweisen.
Wenn man davon ausgeht, dass hier weitaus mehr Privatnutzer als Unternehmens-Systemadmins unterwegs sind, dann könnte das bei vielen auch zu Panikattacken führen.
Deshalb mein Hinweis und ebenso meine "kritische" aber wohl eher ironische Bemerkung zu Borncity.
Wenn man sich die Artikel dort anschaut, dann weiß man, wo dort die Reise hingehen soll.
Ist aber alles halb so wild, der Betreiber dieser Plattform wird wohl aufgrund mangelnder Bekanntheit hoffentlich nicht allzu viel Schaden anrichten. Ich kannte die Seite bisher gar nicht und bin hier zum ersten Mal mit der Nase drauf gestoßen worden.
So, wollen wir uns jetzt weiter an solchen eher banalen Dingen abarbeiten und soll ich dann weiter jeden meiner Kommentare im Detail erklären und klarstellen, wie er gemeint war?
S
.Silberfuchs.
Gast
Brauchst dich nicht angegriffen fühlen. Wir sind hier in einem Forum - ist doch klar das man nachhakt wenn man den Standpunkt eines anderen Nutzers nicht nachvollziehen kann - eine Diskussion eben. Wenn du das als "an banalen Dingen abarbeiten" ansiehst und genervt reagierst, dann hat es wohl keinen Sinn mit dir weiter zu diskutieren.
Außerdem hat MS hiermit https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481 die Sicherheitslücke bestätigt.
Oder ist das etwa auch Panikmache?
Gruß
R.G.
Oder ist das etwa auch Panikmache?
Gruß
R.G.
N
NotNerdNotDau
Gast
Nein, das ist keine Panikmache, sondern ganz normales Vorgehen.rgbs schrieb:
Ach übrigens: habe ich an irgendeiner Stelle behauptet, dass die Sicherheitslücke nicht vorhanden sei?
Was ist nur los mit euch?
.Silberfuchs. schrieb:
1. Ich fühle mich nicht angegriffen..Silberfuchs. schrieb:
2. Wenn man zumindest den Eindruck hat -und das wiederholt, dass andere nicht lesen und verstehen wollen oder können und dann meinen, ins Persönliche übergehen zu müssen, dann reagiert man schon mal etwas genervt.
Das betrifft jetzt noch nicht einmal dich, denn auch für mich war das im Grunde ein ganz normaler Austausch.
Das ist aber noch lange kein Grund, einem gleich die Fähigkeit des Austauschs abzusprechen.
orodigistan
Lieutenant
- Registriert
- Feb. 2007
- Beiträge
- 720
https://www.golem.de/news/sicherhei...-des-windows-druckerspoolers-2107-158276.html
es gibt noch einen bug aber keinen fix
es gibt noch einen bug aber keinen fix
DonSerious
Captain
- Registriert
- Aug. 2010
- Beiträge
- 3.637
Moin,
da das Ganze kein Ende zu nehmen scheint und Microsoft sich offenkundig nicht um eine Lösung bemüht hätte ich gerne mal eine Antwort darauf wie das ganze ohne Browser surfen und Co. ausgelöst werden kann?
Es hört sich an als könne jeder PC mit aktivem Spooler bzw. Druckerwarteschlange übernommen werden. Beispielsweise wenn man afk wäre ohne ein Zutun eines Scripts, Malware oder Sonstigem?
Die einzige Lösung bei einem Ja wäre demnach die Dienste zu öffnen, den Spooler zu schliessen und den Autostart abzuhaken? Also ich spreche nicht von Powershell sondern von Start->Dienste
Ist das mit der Gruppenberechtigung noch nötig oder reicht das oben genannte?
Ich finde es eben fragwürdig immer von Sicherheitslücken zu sprechen aber nicht transparent genug aufzuklären wie diese genutzt werden können. Und ich meine das wie in Bezug auf WIE der Nutzer in die Lage kommen kann darüber angegriffen zu werden und nicht dass ein Skript hier und dort ausgeführt werden könnte sprich eine völlig rudimentäre Beschreibung dessen.
da das Ganze kein Ende zu nehmen scheint und Microsoft sich offenkundig nicht um eine Lösung bemüht hätte ich gerne mal eine Antwort darauf wie das ganze ohne Browser surfen und Co. ausgelöst werden kann?
Es hört sich an als könne jeder PC mit aktivem Spooler bzw. Druckerwarteschlange übernommen werden. Beispielsweise wenn man afk wäre ohne ein Zutun eines Scripts, Malware oder Sonstigem?
Die einzige Lösung bei einem Ja wäre demnach die Dienste zu öffnen, den Spooler zu schliessen und den Autostart abzuhaken? Also ich spreche nicht von Powershell sondern von Start->Dienste
Ist das mit der Gruppenberechtigung noch nötig oder reicht das oben genannte?
Ich finde es eben fragwürdig immer von Sicherheitslücken zu sprechen aber nicht transparent genug aufzuklären wie diese genutzt werden können. Und ich meine das wie in Bezug auf WIE der Nutzer in die Lage kommen kann darüber angegriffen zu werden und nicht dass ein Skript hier und dort ausgeführt werden könnte sprich eine völlig rudimentäre Beschreibung dessen.
Man hat ja gesehen, was die erste Lösung wert war. Kaum nutzt der Anwender alte/falsch programmierte Druckertreiber und schon ist MS Schuld daran, dass der Anwender nicht mehr drucken kann. Aber natürlich hat MS alle seit 2011 veröffentlichten Druckertreiber zu testen, bevor sie irgendwas patchen.DonSerious schrieb:
Was soll "afk" sein? Warum hat man im Heimbereich, in dem man anscheinend Angst um seinen PC haben muss und ihn deshalb sowieso passend absichert, seinen Druckerspooler im Netz freigegeben anstatt die Ports in der lokalen Firewall zu schließen?DonSerious schrieb:
Wenn ich den Usern in meinem Heimnetz nicht traue, mache ich am PC alles dicht und der Druckertreiber für den Netzwerk-Drucker muss halt auf jedem Client installiert werden. Bleibt als Angriffsvektor noch ein lokales Programm...ups, da kann man mir auf dem privaten PC auch einen Keylogger oder sonstwas unterschieben. Das geht sogar ohne Admin-Rechte.
Aber nein, nur durch Anstarren des Druckerspoolers auf dem Monitor wird allenfalls Deinen Augen etwas passieren. Es muss schon irgendwas mit normalen User-Rechten ausgeführt werden. Ob Du das nun Script, Programm, Mod, Installaer oder sonstwie nennst, ist egal.
Im letzten gemeldeten Bug (wurde oben schon vor Tagen verlinkt, ist sogar in Deutsch)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34481
wurde wohl mehr wie deutlich beschrieben:
"Ein Angreifer muss die Möglichkeit haben, Code auf einem Opfersystem auszuführen, um diese Sicherheitsanfälligkeit auszunutzen."
Es muss hier also jemand lokal etwas ausführen können/dürfen (und nicht "nur" remote auf den Druckerspooler zugreifen können). Wobei lokal mit Sicherheit auch "remote" mittels Psexec und den passenden, aufgedrehten Rechten gelten wird.
U.U. nutzt Du einen alten Browser (weil Du es leid bist, dass die unfähigen Browserhersteller alle 3 Tage Bugs beheben und dabei oft auch die GUI würfeln) oder es gibt eine 0-Day Lücke, mit welcher eine Webseite aus dem Browser ausbrechen und dann lokal Code ausführen kann. Dann könnte er nun lokal den Druckerspooler dafür missbrauchen und seinen Virus mit Systemrechten auszuführen.
Wo kein Spooler läuft, kann auch der Spooler nicht direkt angegriffen werden.DonSerious schrieb:
Und wo kein Spooler erreichbar ist (=die Firewall kann man auch im Heimbereich so konfigurieren, dass von außen keiner drauf zugreifen kann) kann auch niemand im Heimnetz den Druckerspooler remote missbrauchen.
Wer wild auf alle verfügbaren Anhänge oder Computerbild-Installer klickt, der hat ganz andere Probleme wie einen Druckerspooler.
Als System-Admin wird man wohl selber auf mögliche Angriffsszenarien in seinem betreuten System kommen. Wenn dann schon dabei steht, dass lokal etwas ausgeführt werden muss, sollte das wohl reichen. Da muss kein PoC für die Nachwuchs-Virenbauer mitgeliefert werden.DonSerious schrieb:
DonSerious
Captain
- Registriert
- Aug. 2010
- Beiträge
- 3.637
Also ich surfe am PC gar nicht mehr. Das hat bei mir vollständig Mac und Co. übernommen. Ansonsten, wenn es unbedingt sein muss nutze ich immer den neuesten Firefox bzw. Update diesen. Bin da sehr penibel. Gerade deshalb ist meine Fragestellung auch so gewählt. Ob man eben einfach so beim Office und Steam benutzen in so eine Situation kommen kann. Dass natürlich der Browser hier das grösste Scheunentor darstellen dürfte ist vermutlich klar. Es las sich in den medien nur so als könne direkt jeder PC ohne Zutun übernommen werden.
RAMSoße
Lt. Commander
- Registriert
- März 2018
- Beiträge
- 1.572
Nun habe ich ihn aktiviert (automatisch) aber es kommt immer Fehler 2. Konnte Datei nicht finden. Obwohl die Exe im System32 Ordner liegt. Arg
Hat sich erledigt. In dem Pfad unter Dienste/Druckerwarteschlange hat sich noch \operating system\... eingeschlichen. Gelöscht und gut
Zuletzt bearbeitet:
(erledigt)
Ähnliche Themen
- Geschlossen
- Artikel
