LK28 11 Geschrieben 2. Juli 2021 Melden Geschrieben 2. Juli 2021 Hallo zusammen, heute erschien folgender Artikel: https://www.heise.de/news/Jetzt-handeln-Angreifer-nutzen-die-Drucker-Luecke-in-Windows-bereits-aus-6127265.html https://www.heise.de/news/PrintNightmare-Schadcode-Luecke-in-Windows-bedroht-ganze-Netzwerke-6124838.html Gibt wohl noch keinen offiziellen Patch, sondern bisher nur Workarounds wie Printspooler abschalten auf kritischen Systemen. Schon Jemand erste Schritte eingeleitet? Grüße Leo 2
NorbertFe 2.281 Geschrieben 2. Juli 2021 Melden Geschrieben 2. Juli 2021 (bearbeitet) vor 5 Minuten schrieb LK28: Schon Jemand erste Schritte eingeleitet? Ja spooler deaktiviert ;) und auf dem printserver gibts ja nen workaround. bearbeitet 2. Juli 2021 von NorbertFe
MurdocX 1.004 Geschrieben 2. Juli 2021 Melden Geschrieben 2. Juli 2021 Habe auch schon gehandelt. Per GPO geht das ganz einfach Wie löst ihr das bei den Clients? Über einen System-Deny im Verzeichnis oder Windows Firewall?
NorbertFe 2.281 Geschrieben 2. Juli 2021 Melden Geschrieben 2. Juli 2021 Clients: disallow remote connections. Siehe hier: https://blog.truesec.com/2021/06/30/exploitable-critical-rce-vulnerability-allows-regular-users-to-fully-compromise-active-directory-printnightmare-cve-2021-1675/ 1
MurdocX 1.004 Geschrieben 2. Juli 2021 Melden Geschrieben 2. Juli 2021 Danke Das wird mich nur 10min meiner teueren Urlaubszeit kosten. Ich bin schon mal über den Link gestolpert. Lesen hilft 😅
zahni 587 Geschrieben 5. Juli 2021 Melden Geschrieben 5. Juli 2021 Wichtige Ergänzung: Nach dem Setzen der GPO MUSS (!) der Spooler-Dienst auf jedem System/Server neu gestartet werden. Sonst wirkt die GPO nicht. Unserem zentralem PrintServer kann ich die Option leider nicht beibringen. Dann müssten unsere die Schreibmaschinen rauskramen.
NorbertFe 2.281 Geschrieben 5. Juli 2021 Melden Geschrieben 5. Juli 2021 (bearbeitet) vor 11 Minuten schrieb zahni: Unserem zentralem PrintServer kann ich die Option leider nicht beibringen. Dafür gibts ja den Workaround mit NTFS ACLs. siehe oben. ;) OK, war dort ganz unten verlinkt, deswegen hier direkt: https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/ bearbeitet 5. Juli 2021 von NorbertFe 2
muenster 16 Geschrieben 5. Juli 2021 Melden Geschrieben 5. Juli 2021 vor 5 Stunden schrieb NorbertFe: Dafür gibts ja den Workaround mit NTFS ACLs. siehe oben. ;) OK, war dort ganz unten verlinkt, deswegen hier direkt: https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/ Im DATEV Umfeld unbrauchbar, es kann mit dieser Einstellung nicht gedruckt werden. Gestern gecheckt und gleich wieder raus.
zahni 587 Geschrieben 5. Juli 2021 Melden Geschrieben 5. Juli 2021 vor 7 Minuten schrieb muenster: Im DATEV Umfeld unbrauchbar, es kann mit dieser Einstellung nicht gedruckt werden. Gestern gecheckt und gleich wieder raus. Installiert Datev ständig neue Druckertreiber? Ansonsten dürfte es nicht stören. Unseren PrintServer stört es jedenfalls nicht.
NorbertFe 2.281 Geschrieben 5. Juli 2021 Melden Geschrieben 5. Juli 2021 Würde mich auch mal interessieren. Gibts hier evtl. noch mehr Datev Leute? @testperson Hilfe
MurdocX 1.004 Geschrieben 5. Juli 2021 Melden Geschrieben 5. Juli 2021 Ich kann die nächsten Tage berichten
testperson 1.858 Geschrieben 5. Juli 2021 Melden Geschrieben 5. Juli 2021 Puh, also so "pauschal" ist mir noch nichts untergekommen. Hängt aber sicherlich auch davon ab, was aus welchem Programm wie gedruckt wird und wie die Drucker generell eingebunden sind. Aus der DATEV Community kann ich diese drei Beiträge mit "Ja / Nein / Vielleicht" anbieten: Jetzt handeln: Angreifer nutzen PrintNightmare Lüc... - DATEV-Community - 228682
NorbertFe 2.281 Geschrieben 5. Juli 2021 Melden Geschrieben 5. Juli 2021 Oha, da les ich lieber nicht noch mehr dort… ;)
mwiederkehr 395 Geschrieben 6. Juli 2021 Melden Geschrieben 6. Juli 2021 Oje, vorletzte Woche Zyxel, jetzt Windows. Es ist nicht einfacher geworden über die Jahre... Der aktuelle Fall zeigt sehr gut, wie viel "Legacy-Zeug" noch in aktuellen Versionen von Windows enthalten ist. Das mit W2k8 eingeführte Rollenkonzept ist ja sehr gut, nur sollten dann Sachen wie Druckwarteschlange auch als Rolle installierbar sein. Gerade auf einem DC, auf dem manche ja nicht mal DHCP betreiben wegen der Sicherheit... Und ein moderner Print Spooler müsste auch nicht als SYSTEM laufen... Man darf hoffen, dass dies in den kommenden Versionen nach und nach verbessert wird. In den Baseline Security Recommendations ist die GPO zum Blockieren von Remoteverbindungen auf den Spooler übrigens (noch) nicht drin.
falkebo 21 Geschrieben 6. Juli 2021 Melden Geschrieben 6. Juli 2021 Ist einem von euch eigentlich aufgefallen, dass der Spooler Service in einer Windows Server 2019 Core Installation garnicht vorhanden ist? Trotzdem ist obige Version als vulnerable gelistet: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden