LK28 11 Geschrieben 2. Juli 2021 Melden Teilen Geschrieben 2. Juli 2021 Hallo zusammen, heute erschien folgender Artikel: https://www.heise.de/news/Jetzt-handeln-Angreifer-nutzen-die-Drucker-Luecke-in-Windows-bereits-aus-6127265.html https://www.heise.de/news/PrintNightmare-Schadcode-Luecke-in-Windows-bedroht-ganze-Netzwerke-6124838.html Gibt wohl noch keinen offiziellen Patch, sondern bisher nur Workarounds wie Printspooler abschalten auf kritischen Systemen. Schon Jemand erste Schritte eingeleitet? Grüße Leo 2 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 2. Juli 2021 Melden Teilen Geschrieben 2. Juli 2021 (bearbeitet) vor 5 Minuten schrieb LK28: Schon Jemand erste Schritte eingeleitet? Ja spooler deaktiviert ;) und auf dem printserver gibts ja nen workaround. bearbeitet 2. Juli 2021 von NorbertFe Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 2. Juli 2021 Melden Teilen Geschrieben 2. Juli 2021 Habe auch schon gehandelt. Per GPO geht das ganz einfach Wie löst ihr das bei den Clients? Über einen System-Deny im Verzeichnis oder Windows Firewall? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 2. Juli 2021 Melden Teilen Geschrieben 2. Juli 2021 Clients: disallow remote connections. Siehe hier: https://blog.truesec.com/2021/06/30/exploitable-critical-rce-vulnerability-allows-regular-users-to-fully-compromise-active-directory-printnightmare-cve-2021-1675/ 1 Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 2. Juli 2021 Melden Teilen Geschrieben 2. Juli 2021 Danke Das wird mich nur 10min meiner teueren Urlaubszeit kosten. Ich bin schon mal über den Link gestolpert. Lesen hilft 😅 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 5. Juli 2021 Melden Teilen Geschrieben 5. Juli 2021 Wichtige Ergänzung: Nach dem Setzen der GPO MUSS (!) der Spooler-Dienst auf jedem System/Server neu gestartet werden. Sonst wirkt die GPO nicht. Unserem zentralem PrintServer kann ich die Option leider nicht beibringen. Dann müssten unsere die Schreibmaschinen rauskramen. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 5. Juli 2021 Melden Teilen Geschrieben 5. Juli 2021 (bearbeitet) vor 11 Minuten schrieb zahni: Unserem zentralem PrintServer kann ich die Option leider nicht beibringen. Dafür gibts ja den Workaround mit NTFS ACLs. siehe oben. ;) OK, war dort ganz unten verlinkt, deswegen hier direkt: https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/ bearbeitet 5. Juli 2021 von NorbertFe 2 Zitieren Link zu diesem Kommentar
muenster 16 Geschrieben 5. Juli 2021 Melden Teilen Geschrieben 5. Juli 2021 vor 5 Stunden schrieb NorbertFe: Dafür gibts ja den Workaround mit NTFS ACLs. siehe oben. ;) OK, war dort ganz unten verlinkt, deswegen hier direkt: https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/ Im DATEV Umfeld unbrauchbar, es kann mit dieser Einstellung nicht gedruckt werden. Gestern gecheckt und gleich wieder raus. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 5. Juli 2021 Melden Teilen Geschrieben 5. Juli 2021 vor 7 Minuten schrieb muenster: Im DATEV Umfeld unbrauchbar, es kann mit dieser Einstellung nicht gedruckt werden. Gestern gecheckt und gleich wieder raus. Installiert Datev ständig neue Druckertreiber? Ansonsten dürfte es nicht stören. Unseren PrintServer stört es jedenfalls nicht. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 5. Juli 2021 Melden Teilen Geschrieben 5. Juli 2021 Würde mich auch mal interessieren. Gibts hier evtl. noch mehr Datev Leute? @testperson Hilfe Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 5. Juli 2021 Melden Teilen Geschrieben 5. Juli 2021 Ich kann die nächsten Tage berichten Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 5. Juli 2021 Melden Teilen Geschrieben 5. Juli 2021 Puh, also so "pauschal" ist mir noch nichts untergekommen. Hängt aber sicherlich auch davon ab, was aus welchem Programm wie gedruckt wird und wie die Drucker generell eingebunden sind. Aus der DATEV Community kann ich diese drei Beiträge mit "Ja / Nein / Vielleicht" anbieten: Jetzt handeln: Angreifer nutzen PrintNightmare Lüc... - DATEV-Community - 228682 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 5. Juli 2021 Melden Teilen Geschrieben 5. Juli 2021 Oha, da les ich lieber nicht noch mehr dort… ;) Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 6. Juli 2021 Melden Teilen Geschrieben 6. Juli 2021 Oje, vorletzte Woche Zyxel, jetzt Windows. Es ist nicht einfacher geworden über die Jahre... Der aktuelle Fall zeigt sehr gut, wie viel "Legacy-Zeug" noch in aktuellen Versionen von Windows enthalten ist. Das mit W2k8 eingeführte Rollenkonzept ist ja sehr gut, nur sollten dann Sachen wie Druckwarteschlange auch als Rolle installierbar sein. Gerade auf einem DC, auf dem manche ja nicht mal DHCP betreiben wegen der Sicherheit... Und ein moderner Print Spooler müsste auch nicht als SYSTEM laufen... Man darf hoffen, dass dies in den kommenden Versionen nach und nach verbessert wird. In den Baseline Security Recommendations ist die GPO zum Blockieren von Remoteverbindungen auf den Spooler übrigens (noch) nicht drin. Zitieren Link zu diesem Kommentar
falkebo 21 Geschrieben 6. Juli 2021 Melden Teilen Geschrieben 6. Juli 2021 Ist einem von euch eigentlich aufgefallen, dass der Spooler Service in einer Windows Server 2019 Core Installation garnicht vorhanden ist? Trotzdem ist obige Version als vulnerable gelistet: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.