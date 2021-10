Seit Juni 2021 laboriert Microsoft daran, verschiedene unter dem Namen "PrintNightmare" zusammengefasste Schwachstellen im Windows Drucker-Spooler-Dienst durch Updates zu schließen. Da diese Schwachstellen von Cyberkriminellen für Angriffe genutzt werden und noch dazu kontinuierlich neue Angriffsmöglichkeiten mittels weiterer Schwachstellen hinzukommen, ist ein zügiges Einspielen der jeweils zum monatlichen Patchday erscheinenden Sicherheitsupdates dringend ratsam.

Allerdings kommt es bereits seit Juli 2021 immer wieder zu Problemen: Nach der Installation der Updates funktionieren Drucker oder einzelne Druckfunktionen nicht mehr. Hiervon bilden auch die Sicherheitsupdates 12. Oktober 2021 (KB5006670) für Windows Desktop- und Server-Versionen keine Ausnahme. Microsoft hat einige Probleme bestätigt; endgültige Lösungen fehlen aber weiterhin.

Microsoft bestätigt und bearbeitet alte Probleme

Vergangenen Monat hatten wir bei heise online über Druckprobleme durch das Update KB5005565 vom September 2021 berichtet. Inzwischen hat Microsoft diese Probleme im Supportbeitrag KB5006670 bestätigt. Demnach könne die Installation von Druckern mit Internet Printing Protocol (IPP) nach der Installation von KB5005565 möglicherweise nicht erfolgreich abgeschlossen werden. Geräte, die vor der Installation von KB5005565 mit dem Drucker verbunden waren und bei denen Treiber installiert waren, sind nicht betroffen. Der aktuelle Status ist, dass Microsoft an einer Lösung arbeitet und diese in einem zukünftigen Update veröffentlichen will.

Ein zweites von Microsoft bestätigtes Problem hingegen soll durch das aktuelle Update KB5006670 behoben worden sein. Die Problembeschreibung im Windows 10 21H1-Statusbereich: Nach der Installation des September-Updates auf einem Druckerserver wurden die auf diesem Server definierten Druckeigenschaften unter Umständen nicht mehr ordnungsgemäß für Clients bereitgestellt. Dies führte dazu, dass die auf dem Server definierten benutzerdefinierten Einstellungen (z. B. Duplexdruckeinstellungen) nicht mehr automatisch angewendet wurden. Die Clients druckten nur noch mit ihren Standardeinstellungen des Druckers.

Ein wenig verwirrend mutet die Historie der Problembehebung an: Als "Resolved"-Datum wird der Erscheinungstag des Oktober-Updates angegeben – allerdings findet sich darunter der Hinweis, dass der Eintrag einen Tag später, am 13. Oktober (wieder-)geöffnet worden sei. Somit bleibt unklar, ob das Problem nicht doch noch besteht.

Weiterbestehende und neue Baustellen

Ähnlich verwirrend datiert ("Resolved": 2021-10-12, aber "Opened": 2021-10-15) ist die Historie eines weiteren Problems, das laut Microsoft ebenfalls schon durch KB5005565 eingeführt worden sein soll und das laut dem zugehörigen Supportbeitrag alle Windows-Clients von Windows 7 SP1 bis Windows 11 sowie die Server-Pendants betraf. Es führt in einigen Netzwerkumgebungen unter bestimmten Voraussetzungen dazu, dass von den Clients nicht mehr auf den Servern gedruckt werden kann: Es werden Administratorberechtigungen zur Installation eines Druckertreibers angefordert.

Problem gelöst – oder doch wieder offen? Die Angaben in einigen Supportbeiträgen verwirren. (Bild: Screenshot)

Tatsächlich meldeten Administratoren im Blog des Autors und in verschiedenen Foren das Auftreten des soeben beschriebenen Problems explizit auch nach dem Einspielen des aktuellen Updates KB5006670. Dies zeigt, dass das Problem entweder tatsächlich weiterbesteht – oder dass KB5006670 (zusätzlich) neue Baustellen eröffnet hat. Für letztere Variante spricht ein neuer Supportbeitrag von Microsoft ("Opened": 2021-10-15), der aktuelle Probleme unter der zum ersten Fall identischen Überschrift "Receiving a prompt for administrative credentials every time you attempt to print" offiziell bestätigt. Die Problembeschreibung entspricht der im älteren Beitrag. Ein ursächliches Update gibt das Unternehmen diesmal nicht an. Man arbeite an einer Lösung und schätze, dass sie Ende Oktober verfügbar sein werde.

Falls es sich um ein neues, mit KB5006670 eingeführtes Problem handeln sollte, liegt die Vermutung eines Zusammenhangs mit einem bestimmten Schwachstellen-Fix nahe: Zum 12. Oktober 2021 hat Microsoft die Spoofing-Schwachstelle CVE-2021-36970 im Drucker-Spooler-Dienst durch entsprechende Sicherheitsupdates für Windows 7 bis Windows 11 und deren entsprechende Server-Pendants geschlossen. Entdeckt wurde die Schwachstelle von den Sicherheitsforschern XueFeng Li und Zhiniang Peng von Sangfor, die auch als Entdecker der PrintNightmare-Schwachstelle CVE-2021-1675 geführt werden. Bestätigt wurde ein Zusammenhang bislang allerdings nicht, so dass es sich hier vorerst nur um Spekulationen handelt.

Workarounds von September weiterhin hilfreich

Einige Administratoren waren in der Lage, mit den im heise online-Beitrag zu den Druckproblemen von September genannten Maßnahmen sowie mit auf der Website gruppenrichtlinien. de aufgeführten Gruppenrichtlinien die Anforderungen für die Administratorberechtigungen abzuschalten. Bei anderen Betroffenen half die Aktualisierung der Druckertreiber auf V4-Treiber.

In verschiedenen Foren und anderen News-Meldungen werden derzeit hausgemachte "Problemlösungen" von Admins diskutiert, bei denen (mittels eines Skripts) zwei neue Dateiversionen (win32spl.dll und spoolsv.exe) gegen ältere ersetzt werden und der Druckservice neu gestartet wird. Da einige Leser im Blog des Autors über mögliche Komplikationen berichteten, sollte dieser Lösungsansatz vor allem in Unternehmensumgebungen aber nur mit großer Vorsicht eingesetzt werden. Das Deinstallieren und Blockieren von Sicherheitsupdates ist angesichts der daraus resultierenden Angriffsrisiken wiederum keinesfalls kein empfehlenswertes Vorgehen.

Im Zweifel bleibt, auf die von Microsoft angekündigte – und diesmal hoffentlich endgültige – Problemlösung zu warten.

