NorbertFe 2.063 Geschrieben 20. Juli 2021 Melden Teilen Geschrieben 20. Juli 2021 vor 9 Minuten schrieb zahni: Ein Beispiel gab es ja neulich... Link? :) Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 20. Juli 2021 Melden Teilen Geschrieben 20. Juli 2021 vor 6 Minuten schrieb NorbertFe: Link? :) Na klar doch: https://www.heise.de/hintergrund/Kaseya-VSA-Wie-die-Lieferketten-Angriffe-abliefen-und-was-sie-fuer-uns-bedeuten-6129656.html Obwohl es diese "Lücke" nicht hätte geben dürfen. Wenn man es schafft via Internet ein "Update-Paket" einzuschleusen, dass dann ohne Rückfrage überall deployed wird, läuft prinzipiell etwas schief. Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 20. Juli 2021 Melden Teilen Geschrieben 20. Juli 2021 (bearbeitet) Microsoft reicht es jetzt mit diesem ominösen "PrintNightmare" und empfiehlt ausnahmslos die Deaktivierung des Druckerspoolers CVE und Golem bearbeitet 20. Juli 2021 von winmadness Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 20. Juli 2021 Melden Teilen Geschrieben 20. Juli 2021 Die Erkenntnis ist aber schon etwas älter. Gibts auch neuere Erkenntnisse? ;) Zitieren Link zu diesem Kommentar
Lian 2.436 Geschrieben 20. Juli 2021 Melden Teilen Geschrieben 20. Juli 2021 Ja: https://www.borncity.com/blog/2021/07/19/printnightmare-point-and-print-erlaubt-die-installation-beliebiger-dateien/ Zitat Konfigurieren der PackagePointAndPrintServerList In Microsoft Windows gibt es eine Gruppenrichtlinie namens „Package Point and Print – Approved servers“, die Einträge in den Registrierungswerten: HKLM\Software\Policies\Microsoft\Windows NT\Printers\PackagePointAndPrint\PackagePointAndPrintServerList und HKLM\Software\Policies\Microsoft\Windows NT\Printers\PackagePointAndPrint\ListofServers verwenden. Über diese Richtlinie kann ein Administrator einschränken, welche Server von nicht-administrativen Benutzern verwendet werden dürfen, um Drucker über Point and Print zu installieren. Die Empfehlung lautet, diese Richtlinie zu konfigurieren, um die Installation von Druckern über beliebige Server zu verhindern. Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 20. Juli 2021 Melden Teilen Geschrieben 20. Juli 2021 Nö, das ist ja die "alte" Lücke. Die neue hat noch keinen Workaround/Policy. Deswegen wärs vermutlich sinnvoller, die CVE in getrennten Threads zu beschreiben. ;) Zitieren Link zu diesem Kommentar
Lian 2.436 Geschrieben 20. Juli 2021 Melden Teilen Geschrieben 20. Juli 2021 vor 17 Minuten schrieb NorbertFe: Nö, das ist ja die "alte" Lücke. Die neue hat noch keinen Workaround/Policy. Deswegen wärs vermutlich sinnvoller, die CVE in getrennten Threads zu beschreiben. ;) Dann lies den verlinkten Artikel von Günter, wenn Du ihm nicht glaubst Gleicher Inhalt... https://kb.cert.org/vuls/id/131152 Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 20. Juli 2021 Melden Teilen Geschrieben 20. Juli 2021 Danke. Ach ich glaub ja viel. :) Der Workaround behebt aber das Problem nicht, sondern schränkt das Problem auf die hoffentlich " noch eigenen Server" ;) Lustig, dass es "ähnlich" lautende Policies bzgl. der Servereinschränkungen gibt, die aber laut Explain Text nichts miteinander zu tun haben. Irgendwie brauch ich bald wieder so ein tolles Schaltbild wie oben. ;) Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 20. Juli 2021 Melden Teilen Geschrieben 20. Juli 2021 Helft mir mal: Ist die Verbindung via "net use" bzw. Drucker GPO das Gleiche? Zitieren Link zu diesem Kommentar
Lian 2.436 Geschrieben 20. Juli 2021 Melden Teilen Geschrieben 20. Juli 2021 vor 14 Minuten schrieb NorbertFe: Danke. Ach ich glaub ja viel. :) Der Workaround behebt aber das Problem nicht, sondern schränkt das Problem auf die hoffentlich " noch eigenen Server" ;) Lustig, dass es "ähnlich" lautende Policies bzgl. der Servereinschränkungen gibt, die aber laut Explain Text nichts miteinander zu tun haben. Irgendwie brauch ich bald wieder so ein tolles Schaltbild wie oben. ;) Naja, das steht auch so da: Zitat The CERT/CC is currently unaware of a practical solution to this problem. Please consider the following workarounds: Es ist ein Workaround... Ansonsten: Ja, gerne Schaltbild oder lieber noch ein Patch. Damit es nicht langweilig wird: https://labs.sentinelone.com/cve-2021-3438-16-years-in-hiding-millions-of-printers-worldwide-vulnerable/ Zitat SentinelLabs has discovered a high severity flaw in HP, Samsung, and Xerox printer drivers. Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 20. Juli 2021 Melden Teilen Geschrieben 20. Juli 2021 Cool! Bestätigt sich die Aussage die ich gegenüber Kunden regelmäßig treffe: werfen sie die mitgelieferte cd ungeöffnet in die Tonne und suchen sie die driver only Variante. ;) schon heftig, wie lange der Kram ungeändert mitgeschleift wird - man könnte fast Vorsatz vermuten. 1 Zitieren Link zu diesem Kommentar
MurdocX 954 Geschrieben 12. August 2021 Melden Teilen Geschrieben 12. August 2021 (bearbeitet) Es gibt wieder eine Fortsetzung Diesmal wird einfach eine andere Funktion "CopyFile-Registrierungsanweisung" verwendet, um die DLL zu kopieren. Aktuell widerspricht sich MS bzgl. der Ausnutzbarkeit ob nur Lokal oder auch Remote. Quellen: CVE-2021-36958 – Leitfaden für Sicherheitsupdates – Microsoft - Windows Print Spooler Remote Code Execution Vulnerability PrintNightmare: Schon wieder eine Drucker-Lücke in Windows ohne Patch | heise online bearbeitet 12. August 2021 von MurdocX Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 12. August 2021 Melden Teilen Geschrieben 12. August 2021 Moin, <ot>oh Mann. Und das alles für Druckdienste, die schon Ende der Neunziger nicht konkurrenzfähig waren und sich seitdem (auch funktional) praktisch nicht weiterentwickelt haben.</ot> Gruß, Nils Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 12. August 2021 Melden Teilen Geschrieben 12. August 2021 (bearbeitet) vor 15 Minuten schrieb NilsK: <ot>oh Mann. Und das alles für Druckdienste, die schon Ende der Neunziger nicht konkurrenzfähig waren und sich seitdem (auch funktional) praktisch nicht weiterentwickelt haben.</ot> ... vielleicht hat MSFT ja bereits Ende der 90-er damit gerechnet, dass sich das papierlose Büro in allerkürzester Zeit durchsetzt und damit keine Druckdienste mehr gebraucht werden ... <rofl> bearbeitet 12. August 2021 von BOfH_666 Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 12. August 2021 Melden Teilen Geschrieben 12. August 2021 vor 59 Minuten schrieb NilsK: Moin, <ot>oh Mann. Und das alles für Druckdienste, die schon Ende der Neunziger nicht konkurrenzfähig waren und sich seitdem (auch funktional) praktisch nicht weiterentwickelt haben.</ot> Gruß, Nils Na gut, das trifft ja auf einiges zu. :) alles was neu ist, ist halt am Ende "cloud". Ob ich das wirklich besser finde? Sieht man ja schön am Azure AD Connect, der die selbe Angriffsmöglichkeit (NTLM Relay) wie die Zertifikatsdienste zu bieten scheint. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.