Beveiligingsupdates van 14 september tegen de kwetsbaarheden in de “PrintNightmare” van Microsoft kunnen nieuwe printerproblemen veroorzaken. Enkele workarounds en andere maatregelen helpen hiertegen, maar zijn wel kwetsbaar.
Sinds begin juli 2021 probeert Microsoft verschillende kwetsbaarheden in de Windows printer spooler service te dichten die gegroepeerd zijn onder de naam “PrintNightmare”. De poging op patchdag 14 september leidt echter tot complicaties in sommige afdrukomgevingen, wat Microsoft inmiddels ook heeft bevestigd.
Workarounds printerproblemen Windows
Er is nog geen uniforme oplossing – maar er zijn workarounds om het probleem op te lossen zonder de updates te verwijderen. Beheerders moeten zich ervan bewust zijn dat de hier beschreven workarounds slechts tijdelijke oplossingen voor de korte termijn zijn, die later definitief moeten worden opgelost door bijgewerkte printerdrivers en verbeteringen door Microsoft.
Meldingen ‘geen printers’ en crashes
Verschillende beheerders maakten melding van ontbrekende gedeelde netwerkprinters (bv. in terminal server omgevingen) op Windows clients. In andere gevallen hadden gebruikers plotseling beheerdersrechten nodig om printerdrivers te installeren of bij te werken.
Er werden ook conflicten met stop-opdrachten vastgesteld. Printers van verschillende fabrikanten worden door de problemen getroffen.
Sommige beheerders zagen zich genoodzaakt de patches te verwijderen om de IT-infrastructuur functioneel te houden – een riskante onderneming, aangezien de kwetsbaarheden van PrintNightmare nu worden misbruikt voor ransomware-aanvallen.
Enkele oplossingen voor de printerproblemen Windows
Hoewel er nog geen uniforme oplossing is om de afdrukproblemen op te lossen, zijn er intussen tenminste enkele benaderingen en workarounds bekend.
Vanaf 17 september 2021 heeft Microsoft toegegeven dat er fundamentele problemen zijn veroorzaakt door de updates van september 2021 in het statusgebied van Windows 10 bij de vermelding “Administrator credentials required every time apps attempt to print”
Potentieel getroffen zijn Windows clients van Windows 7 SP1 tot Windows 10 21H1 en Windows servers van versie 2008 R2 SP1 tot Windows Server 2022.
Blijf op de hoogte van de nieuwste informatie en tips!
Schrijf je in voor de nieuwsbrief:
- De probleemomschrijving:
Bij bepaalde printers die Point and Print gebruiken, verschijnt in sommige omgevingen de vraag “Vertrouwt u deze printer?” na de installatie van de update.
Als gevolg hiervan zijn beheerdersrechten vereist om de vereiste stuurprogramma’s te installeren zodra een toepassing op een afdrukserver probeert af te drukken of een afdrukcliënt een verbinding met een afdrukserver tot stand wil brengen.
- De aanbevolen actie:
Volgens Microsoft wordt dit gedrag veroorzaakt doordat een printerdriver op zowel de afdrukcliënt als de server dezelfde bestandsnaam heeft, maar de server een nieuwere versie van het bestand in kwestie heeft.
Wanneer de afdrukcliënt verbinding maakt met de afdrukserver, vindt deze een nieuwer stuurprogrammabestand en wordt gevraagd de stuurprogramma’s op de afdrukcliënt bij te werken. Het proces mislukt echter omdat het pakket dat aan de cliënt voor installatie wordt aangeboden, niet de nieuwere bestandsversie bevat.
- De vrij beknopte oplossing van Microsoft:
beheerders moeten ervoor zorgen dat de nieuwste stuurprogramma’s worden geïnstalleerd voor alle printers die worden gebruikt en, indien mogelijk, moeten dezelfde versies van het printerstuurprogramma worden gebruikt op de afdrukcliënt en de afdrukserver.
- Het advies
is ervoor te zorgen dat door het bijwerken printerstuurprogramma’s worden geïnstalleerd die voldoen aan het V4-stuurprogrammamodel dat met Windows 8/Server 2012 is geïntroduceerd en dat eventuele problemen die zich voordoen, worden opgelost.
In sommige gevallen (b.v. bij HP apparaten) helpt het ook om de zogenaamde universele printerdrivers te gebruiken voor printerbesturing.
- Deze aanbevolen handelwijze heeft echter een paar valkuilen die Microsoft achterwege laat:
- Als de printerfabrikant geen nieuwere V4-stuurprogramma’s levert, zal de probleemoplossing mislukken.
- Bovendien moet een beheerder mogelijk de stuurprogramma’s op de betrokken terminalservers en afdrukservers eenmalig bijwerken voordat het afdrukken weer werkt zonder beheerdersrechten.
- Een ander probleem kan zich voordoen als Linux- en macOS clients ook op afdrukservers moeten afdrukken: In gemengde omgevingen worden soms V3-drivers gebruikt in geval van problemen met V4-printerdrivers.
- Uitschakelen van de beheerdersvereiste voor de printerinstallatie
Het feit dat voor de installatie van het printerstuurprogramma beheerdersrechten vereist zijn, werd reeds ingevoerd met de Windows-beveiligingsupdates van augustus 2021. Voor dit doel heeft Microsoft de volgende registersleutel toegevoegd
| HKEY_LOCAL_MACHINE_Software_Policies_Microsoft_Windows NT_Printers_PointAndPrint |
Dat implementeert een beleid om de beheerdervereiste voor het installeren van stuurprogramma’s voor Point and Print aan (standaardwaarde) of uit (indien nodig) te schakelen. Als de DWORD-waarde RestrictDriverInstallationToAdministrators=0 is ingesteld, is een printerdriverinstallatie weer mogelijk zonder beheerdersrechten. Microsoft beschrijft dit in ondersteuningsartikel KB5005652
Beheerders die besluiten deze stap te nemen, dienen echter om veiligheidsredenen de maatregelen uit te voeren die in het ondersteuningsartikel worden beschreven om de geautoriseerde afdrukservers via groepsbeleid te definiëren.
Dit is de enige manier om te voorkomen dat de PrintNightmare-kwetsbaarheden vanaf het Internet kunnen worden uitgebuit.
US-CERT beveelt aan dat als RestrictDriverInstallationToAdministrators=0 is ingesteld, het beleid om point-and-print-pakketten te forceren via de DWORD-waarde PackagePointAndPrintOnly=1 moet worden ingeschakeld. Details over de registervermeldingen en groepsbeleid zijn gedocumenteerd door gentilkiwi in deze GitHub post.
Workaround voor fout 0x0000011b bij printers
Afhankelijk van de omgeving kan het na de beveiligingsupdate van september 2021 gebeuren dat printers helemaal niet kunnen worden aangesproken of dat een foutafbreking (error 0x0000011b) optreedt.
Als dit niet kan worden verholpen door het stuurprogramma te updaten, is er nog een tweede workaround, die echter wel een zeker veiligheidsrisico met zich meebrengt.
De achtergrond van de fout is een wijziging die in de beveiligingsupdates van september 2021 is aangebracht om de spoofing-kwetsbaarheid CVE-2021-1678 te dichten.
Nieuwe authenticatie
In januari 2021 introduceerde een beveiligingsupdate de mogelijkheid om een nieuwe authenticatie te gebruiken voor Printer-RPC-binding in verband met deze kwetsbaarheid. Sindsdien kunnen beheerders via een beleid en een nieuwe registersleutel aangeven of deze authenticatie wordt gebruikt voor printer-RPC-binding.
In januari 2021 stonden de standaardwaarden voor de registerwaarde RpcAuthnLevelPrivacyEnabled nog standaard op “inactief” om beheerders de tijd te geven de overstap te maken.
Met de update van september is het beleid nu gehandhaafd en als gevolg daarvan kunnen sommige printerdrivers niet langer verbinding maken met afdrukservers en kunnen mislukken met de stopfout 0x0000011b. Als deze fout niet op korte termijn kan worden verholpen door de printerdrivers bij te werken, kunnen beheerders het volgende instellen in de registersleutel
| HKEY_LOCAL_MACHINE\SysteemCurrentControlSet\ControlPrint |
Stel daar de 32-bit DWORD waarde RpcAuthnLevelPrivacyEnabled=0 in. De printer spooler moet dan opnieuw worden opgestart. De gewijzigde waarde verwijdert de handhavingsmodus, maar maakt de omgeving weer kwetsbaar voor de spoofing-kwetsbaarheid.
Degenen die ervoor kiezen om dit te doen moeten zich bewust zijn van de mogelijke gevaren als gevolg van CVE-2021-1678.
De “PrintNightmare” van Microsoft gaat door in oktober: Oktober beveiligingsupdates Microsoft: nog steeds printerproblemen
