Printspooler - Neue Sicherheitslücke

[v-rtc 88]

Gerade eben schrieb Sunny61:

An welcher Stelle genau liest Du raus, dass KB5000808 NICHT über den WSUS zur Verfügung gestellt wird? Vielleicht sehe ich es nicht, aber ich lese nichts von NICHT über den WSUS. Auch wenn es NICHT über den WSUS angeboten wird, man kann es ja, sofern es im MU-Catalog zu finden ist, auch direkt in den WSUS importieren.

Es geht um die hier -> 

Zitat

Dieses Problem wurde in KB5001648 behoben.

Zitat

Dieses Problem wurde in KB5001566 behoben.

Oder kann ich den KB5000808 einfach aktivieren und WSUS macht den Rest? Habe es nämlich so gelesen, dass die zwei die zwei Probleme einzeln lösen und nur von Hand in den WSUS kommen.

[Sunny61 806]

Und hier steht recht deutlich:

 

Zitat

Windows Server Update Services (WSUS)

Nein

Sie können dieses Update manuell in WSUS importieren. Anweisungen dazu finden Sie im Microsoft Update-Katalog.

 

vor 3 Stunden schrieb v-rtc:

Oder kann ich den KB5000808 einfach aktivieren und WSUS macht den Rest? Habe es nämlich so gelesen, dass die zwei die zwei Probleme einzeln lösen und nur von Hand in den WSUS kommen.

Was soll der WSUS dann von selbst machen? Ein weiteres Update downloaden? Der WSUS ist dumm, wenn Du ein Update zur Installation freigibst, wird es gedownloadet und den Clients angeboten. Falls es der Update Agent vom Client möchte, holt er es sich und installiert es. Nicht mehr und nicht weniger.

[v-rtc 88]

vor 6 Stunden schrieb Sunny61:

Und hier steht recht deutlich:

 

 

Was soll der WSUS dann von selbst machen? Ein weiteres Update downloaden? Der WSUS ist dumm, wenn Du ein Update zur Installation freigibst, wird es gedownloadet und den Clients angeboten. Falls es der Update Agent vom Client möchte, holt er es sich und installiert es. Nicht mehr und nicht weniger.

Das passt, dachte ich hätte was von Ersetz gelesen. Lag ich aber falsch. Danke Euch.

[Clawhammer 12]

Am 8.7.2021 um 12:48 schrieb NorbertFe:

4. restrict admins für die treiberinstallation für alle.

Vor dem Problem stehe ich gerade, normalerweise können bei mir meine User sich selbst Ihren Drucker vom Server raussuchen und einbinden. Wenn ich die PointAndPrint Einstellungen so vornehme wie Microsoft das empfiehlt krieg ich demnächst viele Anrufe weil das nicht mehr geht, den der Treiber muss ja rüber auf den Client+Admin Rechte.

 

Jemand einen Tipp? Danke!

[NorbertFe 2.034]

Tja dann hast du ein Dilemma. Vielleicht fürs Treiber deployment entweder einen anderen Weg finden oder zumindest auf die printserver einschränken.

[Clawhammer 12]

vor 2 Stunden schrieb NorbertFe:

Tja dann hast du ein Dilemma. Vielleicht fürs Treiber deployment entweder einen anderen Weg finden oder zumindest auf die printserver einschränken.

Du meinst in der GPO von der PointAndPrint die Server direkt eintragen und so bestimmen das nur diese Server als Treiberquelle fungieren?

bearbeitet 10. Juli 2021 von Clawhammer

[NorbertFe 2.034]

Ja, ist zwar auch auszuhebeln aber ein wenig sicherer. Vor allem wird man das alles testen müssen, damit man beim ersten Problem nicht die Lücke wieder aufreißen muss.

[Clawhammer 12]

Auszuhebeln im Sinne das der Spaß noch funktioniert wenn der Hacker eine aktive Session auf dem Server bekommt oder dort der Schadcode von einem unachtsamen Nutzer ausgeführt wird?

Da würd ich ja einfach den Login sperren, für jeden außer mich.

[NorbertFe 2.034]

Die Lücke besteht auf jedem Windows PC. ;)

vor 45 Minuten schrieb Clawhammer:

der Spaß noch funktioniert wenn der Hacker eine aktive Session auf dem Server bekommt

Pfft Hacker. Das problem dürften wohl fast immer automatismen sein, die durch Nutzer ausgeführt werden. Und selbst wenn das erstmal „nur“ zur Übernahme eines PCs führt (was ich für wahrscheinlicher halte).

[phatair 39]

Hallo zusammen,

 

also ich bin langsam auch etwas verwirrt was die ganzen Infos angeht.

 

Wir haben im Moment auf allen Member Servern den Print Spooler deaktiviert.

Auf den Print Servern haben wir die ACL angepasst.

Auf den Clients/RDP Servern haben wir die GPO konfiguriert, dass die Clients keine Remote Anfragen für den Spooler Dienst annehmen

 

Aktuell haben wir aber die Point-and-Print Einschränkung aktiviert, damit die Clients die Drucker ohne Meldung installieren können.

Wir haben diese GPO an alle Clients und RDP Server verteilt (sonst keine Server) und die Option "Benutzer können Print-und-Point Einschränkung nur mit folgenden Servern verwenden" aktiviert und unsere Print Server angegeben.

 

Nun könnten wir die GPO deaktivieren und die Universal Druckertreiber zentral verteilen.  Damit könnten die User die Drucker ohne Meldung installieren (da Treiber schon vorhanden) und  unsere Umgebung soweit gesichert - verstehe ich das richtig?

 

Oder aber wir belassen es so wie es ist und aktivieren auf den Druckservern die neuen Reg Keys für "RestrictDriverInstallationToAdministrators". 

Nur verstehe ich noch nicht wirklich, dass dieser Reg Key macht? Mit dem Wert 1 für den Key kann ja nur noch der Admin Treiber auf dem jeweiligen Server installieren und es werden die Point-and-Print Einstellungen aus der GPO überschreiben. Wenn, wie bei uns, die Point-and-Print Einstellungen aber gar nicht für die Server gelten, dann hat sich das Thema ja sowieso erledigt und der Server ist sowieso schon geschützt, wenn der aktuelle Patch installiert ist, da der Patch ja nur nicht schützt wenn die Point-and-Print Einschränkung gesetzt ist. Verstehe ich das richtig?

 

Schönen Abend noch

Beste Grüße

 

Edit:

Laut diesem Diagramm (https://www.kb.cert.org/vuls/id/383432) wären die clients wohl lokal angreifbar, wenn wir es so belassen wie es jetzt ist und den Patch installiert haben. 

 

Müssen und wohl mal Gedanken über das Verteilen der Drucker Treiber machen, um die point-and-print Einschränkungen (Meldungen) wieder auf default zu setzen. 

Wenn ich es richtig verstehe, ist eine User Installation eines Drucker Treibers nicht mehr möglich, wenn man die Schwachstelle sauber schließen möchte (Stand jetzt).

bearbeitet 11. Juli 2021 von phatair

[NorbertFe 2.034]

Es geht doch nicht nur um Server, die du als "Printserver" nutzt, sondern um jedes Windows, was grundsätzlich Treiber untergeschoben bekommen kann (zur Not eben per lokaler Rechteerweiterung. Also, grundsätzlich ist es eine gute Idee, den Printservice tatsächlich auf Servern zu deaktivieren, solange dort nicht gedruckt wird (Printserver, Faxserver, Terminalserver). Bei denen sollte man dann schauen, ob 1. ein Fix irgendwann zur Verfügung steht, aber auch ggf. prüfen, ob man die NTFS Rechte bis auf weiteres einschränkt, denn das scheint tatsächlich aktuell die "sicherste" Variante zu sein.

 

Bye

Norbert

 

PS: Falls ich da oben irgendwo Fehler im GEdankengang habe, dann bitte korrigieren.

vor 3 Stunden schrieb phatair:

Wenn ich es richtig verstehe, ist eine User Installation eines Drucker Treibers nicht mehr möglich, wenn man die Schwachstelle sauber schließen möchte (Stand jetzt).

Doch, wenn man die "richtigen" Printdriver verwendet.

[phatair 39]

vor 6 Stunden schrieb NorbertFe:

Doch, wenn man die "richtigen" Printdriver verwendet.

 

Was genau meinst du damit? Reicht es aus, wenn sie digital signiert sind?
Es ist ja definitiv keine Lösung, dass eine UAC erscheint und administrative Rechte benötigt werden, wenn der User einen Drucker verbinden möchte.

Entweder müssen wir den Treiber dann zentral verteilen oder aber eben die "richtigen" Treiber verwenden.

 

vor 7 Stunden schrieb NorbertFe:

Es geht doch nicht nur um Server, die du als "Printserver" nutzt, sondern um jedes Windows, was grundsätzlich Treiber untergeschoben bekommen kann (zur Not eben per lokaler Rechteerweiterung. Also, grundsätzlich ist es eine gute Idee, den Printservice tatsächlich auf Servern zu deaktivieren, solange dort nicht gedruckt wird (Printserver, Faxserver, Terminalserver). Bei denen sollte man dann schauen, ob 1. ein Fix irgendwann zur Verfügung steht, aber auch ggf. prüfen, ob man die NTFS Rechte bis auf weiteres einschränkt, denn das scheint tatsächlich aktuell die "sicherste" Variante zu sein.

 

Bye

Norbert

 

PS: Falls ich da oben irgendwo Fehler im GEdankengang habe, dann bitte korrigieren.

Doch, wenn man die "richtigen" Printdriver verwendet.

Wir haben ja auf allen Servern den Print Spooler Dienst beendet/deaktiviert auf denen er nicht benötigt wird.

 

Einzig auf den Terminalservern und Print Servern + Clients läuft dieser noch.

Auf den Terminalservern konnten wir die ACL nicht anpassen, da danach keiner mehr drucken konnte (hie rmüssen wir noch prüfen ob es ein grundsätliches Problem ist oder ein Fehler bei der Konfig gemacht wurde). Aber die ACL Methode ist ja auch etwas umstritten. Ebenso haben wir auf der Firewall zwischen den Server und Client VLANs IPS aktiviert. Das schützt zumindest die Kommunikation zwischen den Bereichen.

 

Wir werden jetzt mal testen, ob wir die Print-and-Point Einschränkung rausnehmen können, ohne das die User erhöhte Berechtigungen für die Drucker Installation benötigen.

 

[v-rtc 88]

Hallo, kurz eine Frage. Ich würde gerne dieses Update erst mal nicht genehmigen. Allerdings existiert am WSUS eine automatische Freigabe mit Stichtag. Was zieht den nun am Ende? (Ich würde es nicht ablehnen, nur nicht in 3 Gruppen freigeben)

Danke.

[NorbertFe 2.034]

Stichtag. Ich würde behaupten, dass diese Frage schon mehrfach beantwortet wurde. ;)

[v-rtc 88]

vor 1 Minute schrieb NorbertFe:

Stichtag. Ich würde behaupten, dass diese Frage schon mehrfach beantwortet wurde. ;)

Obwohl man es dann nicht genehmigt, wird er automatisch am Stichtag installiert? Sorry, kann grad nirgends testen