September beveiligingsupdates van Microsoft geven printerproblemen

Redactie
0

Beveiligingsupdates van 14 september tegen de kwetsbaarheden in de “PrintNightmare” van Microsoft kunnen nieuwe printerproblemen veroorzaken. Enkele workarounds en andere maatregelen helpen hiertegen, maar zijn wel kwetsbaar.

Sinds begin juli 2021 probeert Microsoft verschillende kwetsbaarheden in de Windows printer spooler service te dichten die gegroepeerd zijn onder de naam “PrintNightmare”. De poging op patchdag 14 september leidt echter tot complicaties in sommige afdrukomgevingen, wat Microsoft inmiddels ook heeft bevestigd.


Microsoft printerproblemen beveiligingsupdates september


Workarounds printerproblemen Windows

Er is nog geen uniforme oplossing – maar er zijn workarounds om het probleem op te lossen zonder de updates te verwijderen. Beheerders moeten zich ervan bewust zijn dat de hier beschreven workarounds slechts tijdelijke oplossingen voor de korte termijn zijn, die later definitief moeten worden opgelost door bijgewerkte printerdrivers en verbeteringen door Microsoft.

Meldingen ‘geen printers’ en crashes

Verschillende beheerders maakten melding van ontbrekende gedeelde netwerkprinters (bv. in terminal server omgevingen) op Windows clients. In andere gevallen hadden gebruikers plotseling beheerdersrechten nodig om printerdrivers te installeren of bij te werken.

Er werden ook conflicten  met stop-opdrachten vastgesteld. Printers van verschillende fabrikanten worden door de problemen getroffen.

Sommige beheerders zagen zich genoodzaakt de patches te verwijderen om de IT-infrastructuur functioneel te houden – een riskante onderneming, aangezien de kwetsbaarheden van PrintNightmare nu worden misbruikt voor ransomware-aanvallen.

Enkele oplossingen voor de printerproblemen Windows

Hoewel er nog geen uniforme oplossing is om de afdrukproblemen op te lossen, zijn er intussen tenminste enkele benaderingen en workarounds bekend.

Vanaf 17 september 2021 heeft Microsoft toegegeven dat er fundamentele problemen zijn veroorzaakt door de updates van september 2021 in het statusgebied van Windows 10 bij de vermelding “Administrator credentials required every time apps attempt to print”

Potentieel getroffen zijn Windows clients van Windows 7 SP1 tot Windows 10 21H1 en Windows servers van versie 2008 R2 SP1 tot Windows Server 2022.


Blijf op de hoogte van de nieuwste informatie en tips!
Schrijf je in voor de nieuwsbrief:


  • De probleemomschrijving:

Bij bepaalde printers die Point and Print gebruiken, verschijnt in sommige omgevingen de vraag “Vertrouwt u deze printer?” na de installatie van de update.

Als gevolg hiervan zijn beheerdersrechten vereist om de vereiste stuurprogramma’s te installeren zodra een toepassing op een afdrukserver probeert af te drukken of een afdrukcliënt een verbinding met een afdrukserver tot stand wil brengen.

  • De aanbevolen actie:

Volgens Microsoft wordt dit gedrag veroorzaakt doordat een printerdriver op zowel de afdrukcliënt als de server dezelfde bestandsnaam heeft, maar de server een nieuwere versie van het bestand in kwestie heeft.

Wanneer de afdrukcliënt verbinding maakt met de afdrukserver, vindt deze een nieuwer stuurprogrammabestand en wordt gevraagd de stuurprogramma’s op de afdrukcliënt bij te werken. Het proces mislukt echter omdat het pakket dat aan de cliënt voor installatie wordt aangeboden, niet de nieuwere bestandsversie bevat.

  • De vrij beknopte oplossing van Microsoft:

beheerders moeten ervoor zorgen dat de nieuwste stuurprogramma’s worden geïnstalleerd voor alle printers die worden gebruikt en, indien mogelijk, moeten dezelfde versies van het printerstuurprogramma worden gebruikt op de afdrukcliënt en de afdrukserver.

  • Het advies

is ervoor te zorgen dat door het bijwerken printerstuurprogramma’s worden geïnstalleerd die voldoen aan het V4-stuurprogrammamodel dat met Windows 8/Server 2012 is geïntroduceerd en dat eventuele problemen die zich voordoen, worden opgelost.

In sommige gevallen (b.v. bij HP apparaten) helpt het ook om de zogenaamde universele printerdrivers te gebruiken voor printerbesturing.

  • Deze aanbevolen handelwijze heeft echter een paar valkuilen die Microsoft achterwege laat:
  1. Als de printerfabrikant geen nieuwere V4-stuurprogramma’s levert, zal de probleemoplossing mislukken.
  2. Bovendien moet een beheerder mogelijk de stuurprogramma’s op de betrokken terminalservers en afdrukservers eenmalig bijwerken voordat het afdrukken weer werkt zonder beheerdersrechten.
  3. Een ander probleem kan zich voordoen als Linux- en macOS clients ook op afdrukservers moeten afdrukken: In gemengde omgevingen worden soms V3-drivers gebruikt in geval van problemen met V4-printerdrivers.
  4. Uitschakelen van de beheerdersvereiste voor de printerinstallatie

Het feit dat voor de installatie van het printerstuurprogramma beheerdersrechten vereist zijn, werd reeds ingevoerd met de Windows-beveiligingsupdates van augustus 2021. Voor dit doel heeft Microsoft de volgende registersleutel toegevoegd

HKEY_LOCAL_MACHINE_Software_Policies_Microsoft_Windows NT_Printers_PointAndPrint

Dat implementeert een beleid om de beheerdervereiste voor het installeren van stuurprogramma’s voor Point and Print aan (standaardwaarde) of uit (indien nodig) te schakelen. Als de DWORD-waarde RestrictDriverInstallationToAdministrators=0 is ingesteld, is een printerdriverinstallatie weer mogelijk zonder beheerdersrechten. Microsoft beschrijft dit in ondersteuningsartikel KB5005652

Beheerders die besluiten deze stap te nemen, dienen echter om veiligheidsredenen de maatregelen uit te voeren die in het ondersteuningsartikel worden beschreven om de geautoriseerde afdrukservers via groepsbeleid te definiëren.

Dit is de enige manier om te voorkomen dat de PrintNightmare-kwetsbaarheden vanaf het Internet kunnen worden uitgebuit.

US-CERT beveelt aan dat als RestrictDriverInstallationToAdministrators=0 is ingesteld, het beleid om point-and-print-pakketten te forceren via de DWORD-waarde PackagePointAndPrintOnly=1 moet worden ingeschakeld. Details over de registervermeldingen en groepsbeleid zijn gedocumenteerd door gentilkiwi in deze GitHub post.

Workaround voor fout 0x0000011b bij printers

Afhankelijk van de omgeving kan het na de beveiligingsupdate van september 2021 gebeuren dat printers helemaal niet kunnen worden aangesproken of dat een foutafbreking (error 0x0000011b) optreedt.

Als dit niet kan worden verholpen door het stuurprogramma te updaten, is er nog een tweede workaround, die echter wel een zeker veiligheidsrisico met zich meebrengt.

De achtergrond van de fout is een wijziging die in de beveiligingsupdates van september 2021 is aangebracht om de spoofing-kwetsbaarheid CVE-2021-1678 te dichten.

Nieuwe authenticatie

In januari 2021 introduceerde een beveiligingsupdate de mogelijkheid om een nieuwe authenticatie te gebruiken voor Printer-RPC-binding in verband met deze kwetsbaarheid. Sindsdien kunnen beheerders via een beleid en een nieuwe registersleutel aangeven of deze authenticatie wordt gebruikt voor printer-RPC-binding.

In januari 2021 stonden de standaardwaarden voor de registerwaarde RpcAuthnLevelPrivacyEnabled nog standaard op “inactief” om beheerders de tijd te geven de overstap te maken.

Met de update van september is het beleid nu gehandhaafd en als gevolg daarvan kunnen sommige printerdrivers niet langer verbinding maken met afdrukservers en kunnen mislukken met de stopfout 0x0000011b. Als deze fout niet op korte termijn kan worden verholpen door de printerdrivers bij te werken, kunnen beheerders het volgende instellen in de registersleutel

HKEY_LOCAL_MACHINE\SysteemCurrentControlSet\ControlPrint

Stel daar de 32-bit DWORD waarde RpcAuthnLevelPrivacyEnabled=0 in. De printer spooler moet dan opnieuw worden opgestart. De gewijzigde waarde verwijdert de handhavingsmodus, maar maakt de omgeving weer kwetsbaar voor de spoofing-kwetsbaarheid.

Degenen die ervoor kiezen om dit te doen moeten zich bewust zijn van de mogelijke gevaren als gevolg van CVE-2021-1678.


De “PrintNightmare” van Microsoft gaat door in oktober: Oktober beveiligingsupdates Microsoft: nog steeds printerproblemen


Blijf op de hoogte met c't magazine dec/2021

Meer over

Printers

Deel dit artikel

Lees ook

Microsoft toont truc om Windows 11 geïnstalleerd te krijgen

Microsoft beschrijft een truc hoe Windows 11 geïnstalleerd kan worden op computers met hardware die eigenlijk niet ondersteund wordt. Tegelijkertijd w...

Windows 11: problemen met USB-printers

Windows 11 is nog maar net uit of gebruikers merken al problemen op met printers van verschillende fabrikanten die aangesloten zijn via USB.

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er