Thema "Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus" in Technisches zu Software

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Fri, 02 Jul 2021 14:36:11 GMT

Hallo an alle Admins 👋!

Falls uns mal kein Exchange Server Sorgen macht, ist es eben Windows selbst und hier betrifft es den Druckspooler, über den Angreifer im schlimmsten Fall ganze Netze übernehmen können.

Jetzt handeln! Angreifer nutzen Drucker-Lücke PrintNightmare in Windows aus

PrintNightmare: Schadcode-Lücke in Windows bedroht ganze Netzwerke

Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt

Ungepatchte Sicherheitslücke in Windows sorgt für Verwirrung

Jetzt handeln! Updates wird es im schlimmsten Fall erst am Patch-Dienstag, 13. Juli geben. Wenn man bedenkt, dass die Exchange Lücke innerhalb von Stunden um die ganze Welt ging ... Mindestens sollte auf allen Microsoft AD Servern die Druckerwarteschlange beendet & deaktiviert werden.

Wie man mit Printservern umgehen soll, ist mir aktuell nicht final bekannt. Einen ersten Workaround gibt es aber. Ausprobiert habe ich ihn noch nicht. Laut ersten Meldungen soll das Script aber technisch funktionieren. Ob eine potentielle Infektion damit wirklich verhindert werden kann, ist unbekannt.

EDITH: Besagtes Skript auf allen Printservern zur Vorsicht ausgeführt. Im Zweifel besser nicht mehr drucken als infiziert zu werden. Gerade am Wochenende potentielle Infektionen vermeiden.

Keep Fingers Crossed! 🤞

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

einmalnoch — Fri, 02 Jul 2021 14:51:00 GMT

Das Script muss auf allen Domain Member Computern ausgeführt werden auf denen der Spooldienst läuft! Also nicht nut der/die PrintServer.

Der in Frage stehede Dienst läuft auf jedem Windows Rechner, also mithin auch auf einem DomainController. Das liegt an der Standardinstallation des WinXPS/PDF Printers. DATEV hat bei der Installation den SkyPDF und die DMSclassic Drucker auch auf dem File Server installiert und damit dann den SpoolerService automatisch aktiviert.

Der Startpunkt kann schon eine von den berühmt berüchtigten Mails sein von denen @deusex letztens eine vorgestellt hat.

Hier hilft nur eins: MACHEN

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

JörgW — Fri, 02 Jul 2021 15:24:20 GMT

Das ist mal wieder ein weiteres Beispiel, das zeigt, dass man im professionellen Umfeld dringend von Windows runter muss. DATEV ist aber wohl damit verheiratet, was mich zu der Frage führt: Laufen die DATEV-Programme eigentlich unter Wine?

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Fri, 02 Jul 2021 19:02:23 GMT

@JörgW schrieb:
Laufen die DATEV-Programme eigentlich unter Wine?

Technisch sollte das machbar sein: Leitfaden für die Installation von SQL Server unter Linux Das gepaart mit: Selbst lizenzierten Microsoft SQL Server für DATEV-Programme verwenden sollte doch klappen, oder? 🤔

Fragt sich, ob das sicherheitstechnisch so viel besser ist, als wenn man gleich eine reine Microsoft Umgebung nutzt und die entsprechend patcht.

Citrix ist nun seit ein paar Monaten auch nicht besser, wo man jetzt das 2. Mal schon kritische Lücken gefunden hat. Und da DATEV ja 2026/2029 sowieso in der Cloud sein will, kann man dann auch mit Linux und einem Browser arbeiten: Microsoft Edge, Google Chrome oder im besten Falle auch mit Apple Safari und damit auch auf iPad und iPhone. Zumindest soll das das ganz große Ziel ja sein 😊.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Fri, 02 Jul 2021 19:09:24 GMT

Wie kommen Angreifer an den Dienst dran?

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Fri, 02 Jul 2021 20:03:12 GMT

Das hat der René beim Günter kurz erläutert. So wie immer eben und da man ja nie so weiß, auf was die User klicken, wenn man nicht hinschaut 😬. Jetzt davon auszugehen, dass externe sowieso nicht an eine Domänenkennung kommen, halte ich für riskant.

Passwörter gibt's ja genug: 8,4 Milliarden Passwörter: Riesige TXT-Datei in Szeneforen aufgetaucht

Wenn heise.de schon einen ⚠️ alert ausgibt, hat das seinen Grund. Seit dem Exchange Hack im März bin ich wirklich auf Draht, wenn sowas viral geht 😫.

EDITH: PrintNightmare: Microsoft warnt vor Sicherheitslücke in Windows und veröffentlicht Workaround

Dort, wo das nicht möglich ist, soll zumindest das Drucken übers Netzwerk via Gruppenrichtlinie deaktiviert werden. Dazu muss die Richtlinie „Annahme von Clientverbindungen zum Druckspooler zulassen“ auf „Deaktiviert“ gesetzt werden, man findet diese im Gruppenrichtlinieneditor (gpedit.msc) unter Computerkonfiguration \ Administrative Vorlagen \ Drucker.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Fri, 02 Jul 2021 19:43:07 GMT

ja gut, da hoff ich auf die firewall datevnet .. sei es mail oder letzten endes dann der zugriff.

da sind wir vermutlich weit besser abgesichert als - sehr viele - andere.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Sat, 03 Jul 2021 03:08:38 GMT

Moin !

Wir lassen Windows grundsätzlich nicht drucken, es kann nicht einmal die Drucker erreichen. Druckausgaben selbst werden über den "Windows LPR Monitor" gehandhabt, der an einen zentralen Druckserver schickt.

In der Windows-Druckerdefinition haben wir das "Kontrollkästchen" aktiviert "Daten direkt an das Gerät senden". Es erfolgt also eine direkte Ausgabe an den Druckserver (der eine ordentliche Leistung aufweist).

FRAGE:

Kann ich den Windows-Spooler nicht sicherheitshalber dauerhaft abschalten in der "Diensteverwaltung" ? Oder verweigert Windows dann auch die Operation als LPR-Client ? Ich trau' mich nicht, den Spooler auf unserem ausnahmsweise einmal ordentlich funktionerenden WTS probehalber abzuschalten.

Gruß,

Hans Bonfigt

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Sat, 03 Jul 2021 09:43:43 GMT

Update: 0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)

Nutzt jemand von Euch 0patch?

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Sat, 03 Jul 2021 10:25:18 GMT

So, anstatt wie geplant in die Sauna zu gehen habe ich jetzt folgendes probiert, gemäß

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

Option 1: Spooler stoppen.

Damit kann man aber gar nicht mehr drucken, AUCH DANN NICHT, wenn man bei der Druckerdefinition angegeben hat, "Nicht über Spooler drucken". Ganz allerliebst.

Option 2: Druck von extern eingehend unterbinden.

Das wäre für uns die optimale Lösung, sozusagen der "Gold-Standard".

You can also configure the settings via Group Policy as follows:
Computer Configuration / Administrative Templates / Printers
Disable the “Allow Print Spooler to accept client connections:” policy to block remote attacks.
Impact of workaround This policy will block the remote attack vector by preventing inbound remote printing operations. The system will no longer function as a print server, but local printing to a directly attached device will still be possible.

Zwei Fragen: "a directly attached device", das meint auch Drucker, die über LPR oder JetDirect angebunden sind ?

Schlimmer: Was ist mit diesen "Group Policys" ? Ich höre immer von den Turnschuhadmins, "Die GPOs ziehen nicht". Ist das ein besonderer Teil der "Registry" oder wie kommt man dort 'ran, ohne das System zu zerstören ?

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Sat, 03 Jul 2021 10:59:29 GMT

@Koppelfeld schrieb:
Option 1: Spooler stoppen.
Damit kann man aber gar nicht mehr drucken, AUCH DANN NICHT, wenn man bei der Druckerdefinition angegeben hat, "Nicht über Spooler drucken". Ganz allerliebst.

Jupp, im Übrigen auch kein PDF Druck mehr, weil es unter Windows tatsächlich als Druck gehandhabt wird. Speichern unter/als PDF sollte aber funktionieren. Das nutzt nur DATEV meines Wissens nach nicht und selbst eine simple Vorschau braucht bei DATEV die Möglichkeit des Drucks.

@Koppelfeld schrieb:
Schlimmer: Was ist mit diesen "Group Policys" ? Ich höre immer von den Turnschuhadmins, "Die GPOs ziehen nicht". Ist das ein besonderer Teil der "Registry" oder wie kommt man dort 'ran, ohne das System zu zerstören ?

Dann sind es zu Recht Turnschuh-Admins, wenn man sich damit nicht auskennt. Die Gruppenrichtlinienverwaltung ist aber auch nicht einfach zu verstehen und eher so wie die Rechteverwaltung online für einige Admins. Aber: So verhält sie sich auch. Heißt, wenn eine GPO nicht zieht, hat das zu 105% einen triftigen Grund. Immer. Der ist aber eben nicht immer einfach zu finden; ist eher der Teufel im Detail.

Einfach am Windows Domänencontroller (also an jedem, wenn Sie mehr als 1 haben für z.B. 2 Standorte: an jedem einen) das Programm Gruppenrichtlinien suchen. Dort können Sie alles einstellen. Ich will Ihnen nichts unterstellen aber ohne grobe Vorahnung sich dort auszutoben bringt einen nervlich eher ins Grab. Ich habe mir einige grundlegenden Dinge selbst in etlichen Stunden beigebracht und hatte auch einen Testbenutzer zum Testen da, weil sich Einstellungen zum Teil als Benutzer anders verhalten als Admin und es auch an den Rechten dazu liegen kann. Zudem setzt die Gruppenrichtlinien ein strukturiertes Windows Active Directory voraus: alle Terminalserver in einer OU, alle Clients in eine OU oder diese nochmal nach Clients und Notebooks unterteilt, weil für Notebooks andere Vorgaben als für Clients gelten sollen, tbc ...

Wenn Sie's ganz einfach haben wollen und domänenweit diese Einstellung auf allen PCs / Servern setzen wollen: die GPO an die Domäne ganz oben im Baum setzen, weil sie sich dann den Baum hinab durchvererbt. Deshalb ist es auch wichtig auch alle PCs / Windows Clients ins AD aufzunehmen, da man sonst wirklich an allen PCs manuell von Hand alles einstellen muss.

Im Post #6 habe ich die Information / Abhilfe durch GPO auch nochmal auf Deutsch zitiert.

Als Beispiel, was mit GPOs alles möglich ist: Auf unserer RDS Farm mit 5 Servern und 35 Benutzern füllt sich der %temp% Benutzer Ordner mit der Zeit. Windows löscht (warum auch immer) dort nie was raus. Und weil die User nur ein 8GB Profil haben, läuft der Speicherplatz irgendwann voll und DATEV sagt: Hilfe, kein Platz zum Arbeiten mehr. Also, eine GPO gebaut, die an die RDS Farm geknüpft, die bei jedem Domänen-Benutzer beim jedem Abmelden vollautomatisch den %temp% Ordner löscht; nur bei Domänen-Administratoren nicht, sodass die DATEV Wartung noch ggf. auf diese Dateien bei einem Neustart zugreifen kann. Ich brauche nichts 35x an 5 Servern einstellen. RDS Farmen verhalten sich aber nochmal anders als klassische Clients, sodass hier besondere Einstellungen zu beachten sind.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Sat, 03 Jul 2021 11:30:49 GMT

Vielen Dank für die "Anleitung für Doofe", habe die EDITH heute morgen übersehen.

Hat auch prima geklappt.

Sowas wie "AD" und "GPO" braucht die Kanzlei eigentlich nicht, nachdem nur zwei Windows-Geräte dort existieren, FILE und WTS. Sechzehn Jahre lang hatten wir sogar nur ein einziges Gerät, unter lauter Kakophonie von Datev-Beratern und Systemhäusern.

Das war die schnellste und zuverlässigste DATEV, die wir je hatten.

Whatever, der "Gruppenrichtlinieneditor" war ja gut dokumentiert -- geändert, Spooler neu gestartet, Geräte und Drucker -> "Testseite Drucken" und:

$ lpc -P PRTDG1

Rank/Owner/ID Pr/Class Job Files Size Time
hold adminst@PAWTS+1 A 1 Testseite 63421 13:07:08
done sabineth@PAWTS+203 A 203 AGZDruckauftrag 86500 14:32:50

Was will man mehr ???

Also DANKE !!!

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Sat, 03 Jul 2021 12:24:19 GMT

@Koppelfeld schrieb:
Sowas wie "AD" und "GPO" braucht die Kanzlei eigentlich nicht, nachdem nur zwei Windows-Geräte dort existieren, FILE und WTS.

Und gerade dann! Haben Sie doch jetzt selber getestet? 🤔 Wie sonst hätte ich mein %temp% Ordner Problem denn smart, einfach, effektiv lösen können? Ob das nun 1 WTS oder 5 ist - spielt keine Rolle, wenn die GPO an die OU geknüpft wird. Ich könnte jetzt noch 10 weitere aufsetzen und müsste nichts ändern. Aber 35x das gleiche einstellen? Arbeit für **bleep**en.

Gerade auch in kleinen Umgebungen sind GPOs goldwert, weil man so 1x das Ergebnis einstellen muss und dann Ruhe hat. Kommt ein Mitarbeiter oder geht? Egal. GPO greift. Es nutzen viel, viel zu wenige Kanzleien die Möglichkeiten von GPOs aus und machen viel zu viel zu Fuß. Habe ich oft genug erlebt.

Nur innerhalb der DATEV - da ist noch oft Turnschuh-Administration nötig, weil der DATEV Admin nicht überall Kanzleivorgaben machen kann 😓.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Sat, 03 Jul 2021 12:21:29 GMT

Die Botschaft höre und verstehe ich.

Ich würde SEHR GERNE einige GPOs auf "Disabled" setzen, ibs.

[ x ] lasse ab und zu Usermails im Outlook - PostAUSgang hängen

[ x ] vergesse ab und zu, die gesendeten Mail in 'Gesendete Elemente' zu übertragen

[ x ] blockiere ab und zu die Mailqueue für den User, sodaß er stundenlang Ruhe har vor Mails

[ x ] Verhindere, ohne Fehlermeldung, den "Office 2019" - Update

[ x ] Stürze den Spooljob ab, wenn zwei ähnliche HP-Drucker gleichzeitig benutzt werden

Also, wenn ich DIE disablen könnte .... bloß, ich finde diese GPOs nirgendwo.

Ernsthaft: Jetzt gleich muß ich mich durch 15 Userprofile klicken und "Outlook erstellt automatisch Kopieen in 'Gesendet'" abschalten und dem Mailserver sagen, daß er das doch bitte übernehmen soll. Das wäre mit so einem GPO-Editor schon sehr schön, aber alle GPOs, die ich gerne hätte, gibt es nicht.

Gruß,

Hans Bonfigt

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Sat, 03 Jul 2021 18:59:21 GMT

Und PrintNightmare ist ein Tropfen auf den heißen Stein 😳:

REvil Ransomware-Befall bei 200 Firmen über Kaseya VSA und Management Service Provider (MSP)

Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang

Exchange Lücke im März ... ja, war ja ein Witz.

Happy Weekend!

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

unklarer_Posten — Mon, 05 Jul 2021 12:58:00 GMT

Das Powershell-Script, welches dem Systemuser den Zugriff auf

"C:\Windows\System32\spool\drivers"

verbietet, ist im Datev-Kontext als Workaround übrigens nicht zu gebrauchen.

Hatte gerade einen Kunden bei dem nach dieser Anpassung Auftragswesen nicht mehr gedruckt hat, weshalb wir dann die Variante mit den lokalen Gruppenrichtlinien genommen haben.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

cwes — Mon, 05 Jul 2021 14:21:12 GMT

Deaktivieren des Spoolers auf allen Rechnern (die nicht drucken müssen)
GP für die Client-PCs, die drucken müssen
Rechteeinschränkung auf das Treiber-Verzeichnis des Druckservers

funktioniert für mich mit Datev.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

pascal_duennebacke — Mon, 05 Jul 2021 14:56:23 GMT

1. Deaktivieren der Druckerwarteschlange auf allen Servern (auch der Printserver) außer den Terminalservern (sonst funktioniert PDF-Druck nicht)

2. Gruppenrichtlinie für alle anpassen

3. Drucker lokal einrichten, sodass das Sekretariat drucken kann (Ausgangspost)

Reicht bei einer digitalen Kanzlei vollkommen aus. Muss ein Mitarbeiter zwingend etwas ausdrucken, wird es durch das Sekretariat erledigt (übergangsweise) - war zu mindestens unser schneller Workaround.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Mon, 05 Jul 2021 16:01:15 GMT

@pascal_duennebacke schrieb:
1. Deaktivieren der Druckerwarteschlange auf allen Servern (auch der Printserver) außer den Terminalservern (sonst funktioniert PDF-Druck nicht)
2. Gruppenrichtlinie für alle anpassen
3. Drucker lokal einrichten, sodass das Sekretariat drucken kann (Ausgangspost)

Reicht bei einer digitalen Kanzlei vollkommen aus. Muss ein Mitarbeiter zwingend etwas ausdrucken, wird es durch das Sekretariat erledigt (übergangsweise) - war zu mindestens unser schneller Workaround.

Das "lokale" Einrichten von Druckern ist, nebenher gesagt, kein "Workaround", sondern eine sehr sinnvolle Vorgehensweise. Machen wir seit 25 Jahren so, minimiert Ärger.

Zwei Hinweise dazu:

Einen zentralen Printserver bereitstellen, der auch dafür sorgt, daß die Mitarbeiter am Heimarbeitsplatz drucken können.

Drucker nicht mit "JET Direct" einbinden, sondern mit "LPR Monitor". Damit nämlich hat man die Möglichkeit, einen laufenden Druck bei Bedarf abzubrechen.

p.s.:

auch "Ausdrucke" sind digital ...

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Mon, 05 Jul 2021 17:17:51 GMT

so ganz versteh ich das noch nicht ganz..

ich würde jetzt für alle:

Via Gruppenrichtlinieneditor geht man auf den Bereich Computerkonfiguration \ Administrative Vorlagen \ Drucker.
Nun muss die Richtlinie "Annahme von Clientverbindungen zum Druckspooler zulassen" auf "Deaktiviert" gesetzt werden. Folglich kann man nicht mehr übers Netzwerk ausdrucken.

Kann ich dann dennoch selbst über LAN (direkt) auf den Druckern drucken? Die haben alle einen Printserver "intus".

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Mon, 05 Jul 2021 18:18:21 GMT

@Gelöschter Nutzer schrieb:
so ganz versteh ich das noch nicht ganz..
ich würde jetzt für alle:
Via Gruppenrichtlinieneditor geht man auf den Bereich Computerkonfiguration \ Administrative Vorlagen \ Drucker.
Nun muss die Richtlinie "Annahme von Clientverbindungen zum Druckspooler zulassen" auf "Deaktiviert" gesetzt werden. Folglich kann man nicht mehr übers Netzwerk ausdrucken.

Kann ich dann dennoch selbst über LAN (direkt) auf den Druckern drucken? Die haben alle einen Printserver "intus".

"That depends".

Generell ist es wünschenswert, wenn die Druckanforderungen serialisiert werden.

Die meisten Drucker haben heutzutage unterdessen einen kompletten Druckspooler eingebaut, der das erledigt. Also Kyocera und HP können das.

Aber auch den Drucker würde ich mit dem "LPR Monitor" anbinden (muß extra installiert werden), denn damit kann man einen laufenden Job canceln. Bei JetDirect: Wenn der Job im Drucker ist, dann muß man hinlaufen...

Der Prozessor im Drucker ist nicht unbedingt der Schnellste. Bei manchen DATEV-Programmen legt ein Drucker zwischen den Seiten 20 Sekunden Pause ein. Meistens ist das ein Postscript-Problem. Ein zentraler Formatierer, der gleich Postscript in PCL6 umsetzt, kann enorm beschleunigen.

Und dann gäbe es noch das häßliche Problem:

Ein Druckerlieferant erzählte uns, daß ein Drucker von einem PC aus "infiziert" wurde, wobei jener so manipuliert worden sei, ausschließlich die Fixiereinheit mit 100% Leistung einzuschalten. Eine Zeitlang hat HP mit den "Treiber-CDs" die Computerviren gleich mitgeliefert. Insofern: Drucker, IP-Telephone und eigentlich auch alles ander, was einen kleinen, gesprächigen Linux-Computer beinhaltet, in ein Extra-Netz.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

pascal_duennebacke — Tue, 06 Jul 2021 06:15:55 GMT

Das "lokale" Einrichten von Druckern ist, nebenher gesagt, kein "Workaround", sondern eine sehr sinnvolle Vorgehensweise. Machen wir seit 25 Jahren so, minimiert Ärger.

Trotz der lokalen Anbindung kann "Drucken mit Authentifizierung" abgebildet werden?

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Tue, 06 Jul 2021 06:20:48 GMT

@pascal_duennebacke schrieb:
Das "lokale" Einrichten von Druckern ist, nebenher gesagt, kein "Workaround", sondern eine sehr sinnvolle Vorgehensweise. Machen wir seit 25 Jahren so, minimiert Ärger.

Trotz der lokalen Anbindung kann "Drucken mit Authentifizierung" abgebildet werden?

Ja. Der Code, den der Mitarbeiter eingeben muß (resp. was der Transponder zurückgibt), steht im Druckjob. Die "Authentifizierung" erfolgt lokal im Gerät.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Tue, 06 Jul 2021 08:01:34 GMT

Tja: "Gruppenrichtlinie" wie empfohlen angepaßt.

Heute Meldung: Mehrere von 15 Mitarbeitern können aus "Outlook" und "Word" nicht drucken, "das Bild wird erst milchig und dann kringelt der Rechner".

Grupperichtlinie wieder zurück, WTS neu gestartet.

Drucken funktioniert wieder.

Ob hier nur eine zeitliche Koinzidenz oder eine Kausalität vorliegt, vermag ich freilich nicht zu sagen.

Gruß, Hans Bonfigt

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

witte — Wed, 07 Jul 2021 07:38:09 GMT

Updates stehen bereit!

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Wed, 07 Jul 2021 08:07:51 GMT

Leider noch nicht für Server 16 usw.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Wed, 07 Jul 2021 08:09:53 GMT

@witte schrieb:
Updates stehen bereit!

Quelle? Sonst kann ich ja gleich selber auf die Suche im Internet gehen 😜. Windows Updates? Auch schon via WSUS?

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

witte — Wed, 07 Jul 2021 08:18:06 GMT

Über die Update-Funktion von MS; auch für unserer Server 2019.

Mein Virensanner ESET hat mich heute morgen netterweise darauf hingewiesen, dass Updates zur Verfügung stehen.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Wed, 07 Jul 2021 08:21:02 GMT

Hier z.B.:

https://it-blogger.net/microsoft-veroeffentlicht-kb5004945-fuer-windows-10/

Windows 7!, 10, Server 19 usw. geht, Server 16 nicht. WSUS weiß ich nicht.

Steuer das mit GPO

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

MBehrens — Wed, 07 Jul 2021 08:31:13 GMT

@metalposaunist schrieb:
@witte schrieb:
Updates stehen bereit!
Quelle? Sonst kann ich ja gleich selber auf die Suche im Internet gehen 😜. Windows Updates? Auch schon via WSUS?

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

https://msrc-blog.microsoft.com/2021/07/06/out-of-band-oob-security-update-available-for-cve-2021-34527/

https://support.microsoft.com/de-de/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

d_z_ — Wed, 07 Jul 2021 08:34:09 GMT

Server 2016 ist auch lt. Born nicht dabei. Klasse - also warten.

WSUS hat zumindest für die Clients die Updates gefunden

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Wed, 07 Jul 2021 08:50:53 GMT

patchen, patchen, patchen ⬆️: Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)

Unter anderem KB5004945 soll Abhilfe schaffen.

Dann entfällt wohl am DI, 13. Juli der klassische Patchday?

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

clblank — Wed, 07 Jul 2021 09:02:07 GMT

Habe gerade das update an allen Servern/Clients durchgeführt und die Deaktivierung der "Annahme von Client-Verbindungen zum Druckspooler zulassen" auf dem DC über Gruppenrichtlinie wieder zurückgenommen.

Das "Fix for PrintNightmare CVE-2021-34527 exploit to keep your Print Servers running while a patch is not available" der Sicherheitsfirma Truesec nehme ich aber vorerst nicht zurück, solange mich die Zugriffsverweigerung auf "C:\Windows\System32\spool\drivers" nicht stört.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

agmü — Wed, 07 Jul 2021 11:47:10 GMT

@metalposaunist schrieb:

Dann entfällt wohl am DI, 13. Juli der klassische Patchday?

Glauben Sie noch an den Weihnachtsmann?😉 Freitag steht doch auch wieder ein DATEV SR an. - Nur damit es den Admins nicht langweilig wird.😎

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Wed, 07 Jul 2021 12:39:19 GMT

@agmü schrieb:
Glauben Sie noch an den Weihnachtsmann?

Da muss ich ja gleich wieder quer verweisen: QR-Code in Rechnungen 😬

@agmü schrieb:
Freitag steht doch auch wieder ein DATEV SR an.

Nein, Samstag. Habe ich meine Ruhe. Freitag steht noch ein DATEV SQL Server Umzug an 🤓.

EDITH: Wie man den Kommentaren vom Born Blog entnehmen kann, schließt der Fix nicht sämtliche Lücken. Windows Server 2016 fehlt noch immer komplett.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Michael-Renz — Thu, 08 Jul 2021 04:49:49 GMT

@metalposaunist

Oder hier: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

auf den obigen MS-Update_Workflow verweist heise https://www.heise.de/news/Notfallpatch-Microsoft-schliesst-PrintNightmare-Luecke-in-Windows-6130503.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Thu, 08 Jul 2021 05:58:20 GMT

Das Patch für Server16 ist auch da!

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Nutzer_8888 — Thu, 08 Jul 2021 08:48:14 GMT

Na dann hoffen wir mal, dass dieses „Gepatche“ die Lücken wirklich beseitigt, da gibt es ja auch Informationen die einen hinsichtlich des lokalen Angriffsvektors zweifeln lassen (dann frage ich mich natürlich naiv, ob die in wenigen Minuten umsetzbare Deaktivierung von Remote-Druck über GPO hier nicht schon ähnlich wirkt – Achtung: gpupdate und Neustart Spooler notwendig?). Vielleicht lese ich mir dies aber nicht mehr weiter durch um ruhiger schlafen zu können?! Nächste Woche kommt ja eh der nächste Update-Nerv.

Verstehe auch nicht, dass hier ein riesiges CU notwendig ist (bedeutet bei uns bei den beiden Servern 2016: ca. 40 min Download, 20 min. Installation, 20 min. Neustart, 2 h bis Sytemmaintenance fertig und Performance voll da ist!)

Freue mich jedenfalls darauf heute Abend stundenlag die Updates zu installieren und dann tagelang zu bangen, dass uns die ggf. vorhandenen Kollateralschäden nicht betreffen.

Auch die Workarounds und Konfigurationsempfehlungen sind wirklich „top“ und man sollte bei den mäßigen Beschreibungen immer auf die englischen originale setzten bzw. geistesgegenwärtig die möglicherweise aber auch fehlerhaft übersetzten Richtlinienbeschreibungen im gpeditior lesen! Hier gibt es bei www.borncity.com in der Regel viele wertvolle Ratschläge und Erkenntnisse aus Erfahrungen dich man sicher nicht selber machen möchte.

PS: Die Systeme sind aktuell offenbar zu komplex und funktionsüberladen. Die damit verbundenen Sicherheitslücken sind dann der Nightmare von Digitalisierung, Automatisierung und Remote-Arbeit. Wir Nutzer sind halt die „dummen“ Geiseln dieser Situation, die den Motor (SW-Hersteller, IT-Dienstleister und natürlich auch die Hacker) am Laufen halten (müssen).

Sorry, bin gerade etwas in Rage. Ich habe fertig!

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

pascal_duennebacke — Thu, 08 Jul 2021 09:11:20 GMT

Der lokale Angriffsfall wird durch das Update nicht geschlossen. Kommuniziert Microsoft aber auch sehr offen.
Das Remote-Risiko wird dadurch aber soweit gesenkt, dass das Drucken via Netzwerk freigegeben werden kann. Ein Restrisiko wird sowieso immer bleiben - natürlich müssen wir hier auf die Aussagen von Microsoft vertrauen.

Microsoft wird höchstwahrscheinlich den Patch-Day einfach vorgezogen haben. Durch das Update werden also noch mehr Fehler behoben. Daher ist die Größe des Updates logisch.

Die Installation gehört nun mal dazu. Wenn ich um 18 Uhr Feierabend mache klicke ich auf allen Server auf "Update herunterladen". Dann ist abends noch einmal kurz der Neustart ausstehend, was bequem aus dem Home Office heraus gestartet wird um 21 Uhr. Dann haben die Server genügend Zeit die Updates zu installieren und die Systemperformance wieder herzustellen. Sehe den Vorgang eigentlich sehr entspannt.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Thu, 08 Jul 2021 09:16:35 GMT

@Nutzer_8888 schrieb:
Verstehe auch nicht, dass hier ein riesiges CU notwendig ist (bedeutet bei uns bei den beiden Servern 2016: ca. 40 min Download, 20 min. Installation, 20 min. Neustart, 2 h bis Sytemmaintenance fertig und Performance voll da ist!)

Willkommen bei Windows Server 2016 😉. Server 2019 hat das gefixt; da geht alles schneller.

@Nutzer_8888 schrieb:
Sorry, bin gerade etwas in Rage. Ich habe fertig!

Über genau die Situation gibt's in den Kommentaren vom Born Blog eine schöne Diskussion und viele EDV'ler kehren der EDV den Rücken zu. Ich spiele auch mit dem Gedanken bzw. wechsle das Gebiet. Zwar auch EDV aber eher Schnittstellen und ähnliches aber keine PrntNightmare oder Exchange Lücken mehr. Das macht einen kaputt 😫.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Thu, 08 Jul 2021 09:30:08 GMT

Habs in die Frühstrückspause geschoben und hat etwa 20min gedauert (Abschluss Installation mit Neustart-Server und Clients). So einen "Ausfall" gab es die letzten 8?! Jahre nicht... also so what.

RemoteCode geht dann - vermutlich - immerhin nicht mehr...

Schöner wärs natürlich gewesen den einzigen 16er-Server gestern mitzunehmen.. naja.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Nutzer_8888 — Thu, 08 Jul 2021 09:30:56 GMT

Das mit der klaren Kommunikation sehe ich nicht so. Ich würde - gemäß den Beschreibungen von MS - annehmen: Patch drauf und PrintNichtmare-Sicherheitslücke geschlossen?!

Ansonsten gebe ich Ihnen Recht, das Vertrauen in deren Fähigkeiten ist - notwendigerweise - das Haar, an dem wir uns alle festhalten müssen.

Der Rest wird sich zeigen, in der Patchbeschreibung steht nichts von anderen geschlossenen Lücken - aber das wäre ja auch wieder das Thema "klare" Kommunikation von MS?! Hoffen tue ich trotzdem auch, dass damit ggf. der Dienstagspatch wegefällt (wir werden sehen).

Habe schon so einiges an Update-Pannen mit Server 2016 erlebt (alles MS interne Ursachen), weshalb ich dies nicht so entspannt verfolgen kann und die Kontrolle nach Neustart essenziell empfinde (gebe aber zu, dass seit Ende 2019 das Ganze zwar nicht gerade schnell aber zumindes fehlerfrei lief). Natürlich hat jeder auch mittlerweise seine Strategie, um mit den Unzulänglichkeiten des Server 2016 beim CU-Aufspielen klar zu kommmen (ich sitze normalerweise auch nicht wirklich 4 h vor dem Bildschirm ;-)).

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

vogtsburger — Thu, 08 Jul 2021 09:38:47 GMT

... wollte gestern auch einen ausrangierten (jetzt privat genutzten) Windows Server "SBS2011" mit dem Notfall-Update versorgen.

... "Windows Update" ist allerdings der Meinung, dass der "SBS 2011" auf dem neuesten Stand ist.

Auch die Online-Suche findet keine wichtigen Updates.

... könnte/sollte man manuell etwas herunterladen und installieren, z.B. das Update für Windows Server 2008R2 ?

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Nutzer_8888 — Thu, 08 Jul 2021 09:47:35 GMT

Leicht themenfrender Beitrag (Stichwort Server 2016 vs 2019):

Möchte den Beitrag nicht in eine falsche Richtung abändern, aber ja Server 2019 ist hier wohl besser. Dies ist übrigens auch die - in diesem Falle - deutlich kommuniziert Aussage von MS. Mann solle halt auf 2019 wechseln (braucht halt nur alle Lizenzen neu ....). Ist doch ein Top-Service, für ein Produkt was noch nicht sehr nah am EOL ist ...

Ich fände es schade, wenn EDV'ler mit Engagement und Verstand ihrem Job den Rücken kehren.

Wir werden jedenfalls auch - aber nicht ausschließlich - aus solchen Gründen in die Smart-IT wechseln. Für unsere kleine "Bude" ist mir der Aufwand mittlerweise zu hoch und Sache auch zu komplex...

Viele Grüße

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

cwes — Thu, 08 Jul 2021 11:18:21 GMT

Wiedervorlage in 4 Wochen, bis dahin betrachte ich das Problem als nicht gefixt.: https://www.heise.de/news/Windows-Update-unvollstaendig-Sicherheitsforscher-umgehen-PrintNightmare-Patch-6131519.html

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Thu, 08 Jul 2021 11:52:48 GMT

@vogtsburger schrieb:
... könnte/sollte man manuell etwas herunterladen und installieren, z.B. das Update für Windows Server 2008R2 ?

Ja, geht: Microsoft Update-Katalog KB Nummer eintippen > Download und manuelle Installation. Habe ich gestern auch 2x gemacht. Blöd nur, wenn nicht mal der 2008 R2 bis 01/2020 durchgepatcht war und z.B. das SHA2 Update fehlt. Dann bekommt man bei der Installation weitere Fehler und muss erst weitere KBs manuell nach installieren, bevor man das 07/2021 Update installiert.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

RAHagena — Thu, 08 Jul 2021 12:22:55 GMT

Oder point & print deaktivieren, dann reicht der MS-Fix.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

pascal_duennebacke — Thu, 08 Jul 2021 12:37:55 GMT

"nicht konfiguriert" sollte auch schon ausreichen oder muss es "deaktiviert" sein?

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

RAHagena — Thu, 08 Jul 2021 13:00:42 GMT

Nicht konfiguriert kann m.E. beides bedeuten, deaktiviert ist eindeutig...

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Nutzer_8888 — Thu, 08 Jul 2021 14:02:06 GMT

Im englischen MRSC-Artikel zu CVE-2021-34527 wird dagegen darauf verwiesen, dass die Registry-Keys (im deutschen Artikel steht so ziemlich das Gegenteil, was sehr problematisch wäre):

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)

NoWarningNoElevationOnUpdate = 0 (DWORD) or not defined (default setting)

geprüft werden sollen (entweder 0 oder nicht gesetzt sollen diese sein!).

Heise hat angemerkt, dass der Fix nicht funktionieren würde, wenn „NoWarningNoElevationOnInstall“ aktiv (also 1 ?) ist.

Letztlich wird in KB5005010 dann noch der Registry key (nach installiertem Patch) RestrictDriverInstallationToAdministrators thematisiert (1 ist wohl restriktiver und erlaubt nur Admins Druckertreiber zu installieren).

Es scheint mir möglich, dass einige dieser Keys durch die GPO „Point-and-Print-Einschränkungen“ gesteuert werden. Der Zusammenhang wird aber aus der "klaren" Beschreibung von MS nicht klar.

Wir sollten hier bei Hinweisen zu Konfiguration besser immer klar unterstreichen, welche Einstellung wir meinen. Aktuell werden im Netz und hier m.E. viele ähnlich klingende aber zum Teil gegensätzliche Einstellungen diskutiert (auf keine Fall sollte m.E. die GPO „Point-and-Print-Einschränkungen“ deaktiviert werden (dies würde die NoWarning flags der Registry wohl auf 1 setzen oder diese gar nicht auswerten, falls die deutsche Beschreibung im GPO-Editor stimmen sollte?!).

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Thu, 08 Jul 2021 13:57:12 GMT

@JörgW schrieb:
Laufen die DATEV-Programme eigentlich unter Wine?

Microsoft stellt SQL Server für Windows Container ein

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

RAHagena — Thu, 08 Jul 2021 14:36:28 GMT

Sie würden auf keinen Fall das tun, was MS empfiehlt?

Wie ist die „Point and Print“-Technologie von dieser speziellen Sicherheitsanfälligkeit betroffen?

Point and Print steht nicht in einem direkten Zusammenhang mit dieser Sicherheitsanfälligkeit, aber die Technologie schwächt die lokale Sicherheitsstufe in einer Weise, dass ein Ausnutzen möglich wird. Um „Point and Print“ über die Gruppenrichtlinien zu deaktivieren, können Sie die Einstellungen über Gruppenrichtlinien wie folgt konfigurieren:

Computerkonfiguration / Administrative Vorlagen / Drucker
Setzen Sie die Richtlinie „Point and Print Einschränkungen“ auf „Deaktiviert“, um diese Funktion auszuschalten
Weitere Informationen finden Sie unter: Introduction to Point and Print - Windows drivers | Microsoft Docs

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

Englisch...

How is Point and Print technology affected by this particular vulnerability?

Point and Print is not directly related to this vulnerability, but the technology weakens the local security posture in such a way that exploitation will be possible. To disallow Point and Print for non-administrators make sure that warning and elevation prompts are shown for printer installs and updates. The following registry keys are not present by default. Verify that the keys are not present or change the following registry values to 0 (zero):

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD)
NoWarningNoElevationOnUpdate = 0 (DWORD)
We also recommend explicitly listing specific print servers which should be used by clients.

Ich habe die deutsche Anweisung befolgt und gerade geprüft, bei unserem dahingehend unveränderten System waren die Schlüssel nicht gesetzt, ich werde deshalb nach Serverneustart nachher die Drucker wieder freigeben.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Thu, 08 Jul 2021 14:34:09 GMT

nix present, da nix konfiguriert = reicht

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Nutzer_8888 — Thu, 08 Jul 2021 14:51:12 GMT

Im GPO-Editor steht zur GPO: Point-and-Print-Einschränkungen:

" Wenn Sie diese Richtlinieneinstellung deaktivieren, geschieht Folgendes:
- Clientcomputer unter Windows Vista können über Point-and-Print eine Druckerverbindung mit einem beliebigen Server herstellen.
- Auf Computern unter Windows Vista wird keine Warnung oder Eingabeaufforderung mit erhöhten Rechten angezeigt, wenn Benutzer über Point-and-Print eine Druckerverbindung mit einem beliebigen Server herstellen.
- Auf Computern unter Windows Vista wird keine Warnung oder Eingabeaufforderung mit erhöhten Rechten angezeigt, wenn ein Treiber für eine vorhandene Druckerverbindung aktualisiert werden muss.
- Clientcomputer unter Windows Server 2003 und Windows XP können über Point-and-Print eine Druckerverbindung mit einem beliebigen Server herstellen.
- Die Einstellung "Point-and-Print ist nur mit Computern der eigenen Gesamtstruktur möglich" betrifft nur Windows Server 2003 und Windows XP SP1 (und höhere Service Packs)."

In einigen Foren wird diskutiert, wie das Verhalten dann ist. Ggf. wird gar nicht erst eine Richtlinie gesucht zum auswerten?!

Bitte beachten Sie, dass in der englischen Variant nichts zu dieser GPO steht. Sie haben aber Recht, es ist nichts eindeutig und ggf. ist auch deaktivieren i.O.. Ich wäre hier allerdings vorsichtig hinsichtlich der Konsequenzen für die Wirkung des Patches. Möglicherweise ist man sich bei MS auch nicht so sicher und verweist auf die Registry?! Letztlich könnte deaktviert im Sinne der deutsche GPO-Beschreibung im GPO-Editor die Sicherheitsebene an anderer Stelle aushebeln. Dies wird so auch im Netz bei Borncity oder Administrator.de diskutiert. Übrigens auch kontrovers. Ich würde die GPO auf nicht konfiguriert belassen bzw. setzen.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

clblank — Thu, 08 Jul 2021 15:04:39 GMT

🤔

Bitte weckt mich, wenn Ihr eine Lösung gefunden habt! 😉

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Thu, 08 Jul 2021 19:15:30 GMT

Gefunden! 😎

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

renek — Fri, 09 Jul 2021 04:52:19 GMT

@Nutzer_8888 schrieb:

- Auf Computern unter Windows Vista wird keine Warnung oder Eingabeaufforderung mit erhöhten Rechten angezeigt, wenn Benutzer über Point-and-Print eine Druckerverbindung mit einem beliebigen Server herstellen.
- Auf Computern unter Windows Vista wird keine Warnung oder Eingabeaufforderung mit erhöhten Rechten angezeigt, wenn ein Treiber für eine vorhandene Druckerverbindung aktualisiert werden muss.

🙄 Vista? Das Supportende ist jetzt aber auch schon 1 oder 2 Tage erreicht möchte ich meinen...

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Nutzer_8888 — Fri, 09 Jul 2021 08:07:02 GMT

Wie werden sich dann wohl Windows 10 und die Server-Derivate verhalten?

Letztlich bleibt bei all diesen "Dokumentationen" leider häufig ein gewisser Interpretationsspielraum (besonders auch bei den Übersetzungen), der Vermutungen gewissen Raum lässt (möglicherweise auch für den einen oder anderen MS-Mitarbeiter?).

Das kann bei leicht prüfbaren Einstellungen sicher schnell abgeklärt werden, ist bei potenziell sicherheitsrelevanten Einstellungen aber eigentlich ein no-go. Leider werden manchmal einfache "Konfigurationseinstellungen" durch Bugs wie hier auch mal ungeplant sicherheitsrelevant.

Ich vermute übrigens, wenn keine neuere Variante von Windows extra erwähnt wird, dass die Beschreibung ab Vista und damit auch für Windows 10 gilt (die GPO ist ja auch für Windows 10 wirksam).

Letztlich muss jeder selbst entscheiden, wie er sein System konfiguriert und welcher Beschreibung und / oder Interpretation / Vermutung er vertraut.

Ich wollte mit meinem Einwurf vor einer potenziellen "Gefahr" warnen im Zusammenhang mit der Deaktivierung der oben diskutierten GPO.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Fri, 09 Jul 2021 08:17:04 GMT

@Nutzer_8888 schrieb:
Letztlich bleibt bei all diesen "Dokumentationen" leider häufig ein gewisser Interpretationsspielraum (besonders auch bei den Übersetzungen), der Vermutungen gewissen Raum lässt (möglicherweise auch für den einen oder anderen MS-Mitarbeiter?).

Wie auch den Kommentaren im Born Blog zu entnehmen ist: Die Artikel von Microsoft sollten nur auf Englisch gelesen werden, weil die deutsche Übersetzung fehlerhaft oder nicht aktuell ist.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Michael-Renz — Fri, 09 Jul 2021 16:08:45 GMT

https://www.datev.de/web/de/service/antworten-finden/systemplattform/microsoft-updates/

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

vogtsburger — Fri, 09 Jul 2021 16:25:41 GMT

... seit ich selbst mal auf 'krasse' Widersprüche zwischen dem englischsprachigen Originaltext und der deutschen Übersetzung in technischen Microsoft-Hilfe-Dokumenten gestoßen bin, lese ich im Zweifelsfall immer den englischsprachigen Text.

... glaube nicht, dass das böser 'menschlicher' Wille ist, sondern schlicht die fehlende Intelligenz der Translator-Software.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Fri, 09 Jul 2021 16:46:56 GMT

Und täglich grüßt das Murmeltier: PrintNightmare in Bitterfeld? Landratsamt erpresst, Behörde lahmgelegt

Sehen wir uns nicht auf dieser Welt, treffen wir uns in Bitterfeld - oder so 🤐.

Wie steht es um Eure Stadt? Ich glaube, ich werde bei unserem Bürgermeister in Iserlohn in einer Sprechstunde das Thema einmal ansprechen und nachfragen, wie Iserlohn aufgestellt ist und ob man sich dagegen gewappnet und vorbereitet hat. Es ist nicht die Frage ob, sondern wann 😉.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

vogtsburger — Fri, 09 Jul 2021 17:17:19 GMT

... habe die Erfahrung gemacht, dass eine "Sicherheitslücke bei Druckern" nicht ernst genommen wird.

Dass es hier um Verschlüsselungstrojaner (Ransomware) und um Erpressung geht, ist Vielen nicht bewusst.

... nach dem Motto: "was soll mir schon passieren ? Ich habe ja Augen im Kopf" 😃

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Fri, 09 Jul 2021 18:32:07 GMT

@metalposaunist schrieb:
Und täglich grüßt das Murmeltier: PrintNightmare in Bitterfeld? Landratsamt erpresst, Behörde lahmgelegt

Sehen wir uns nicht auf dieser Welt, treffen wir uns in Bitterfeld - oder so 🤐.

Wie steht es um Eure Stadt? Ich glaube, ich werde bei unserem Bürgermeister in Iserlohn in einer Sprechstunde das Thema einmal ansprechen und nachfragen, wie Iserlohn aufgestellt ist und ob man sich dagegen gewappnet und vorbereitet hat. Es ist nicht die Frage ob, sondern wann 😉.

ALLE Kunden, die ich "nur" gewarnt habe, jeweils EDV - Leiter, reagierten mit

a) "Wir haben doch BitDefender". Hinter den ganzen Schlangenölherstellern verstecken sich die EDV-Leiter: "Chef, mich trifft keine Schuld. Ich hatte ja vorgesorgt".

b) "Ach, Sie wieder mit Ihrem Sicherheitsgedöns".

c) "Mei Citrix-Farm, die laaft. Do installiern's mir nix drauf. Never change a running system".

Bei einem bin ich unmittelbar verantwortlich und zuständig und installierte folglich nächstens ungefragt resp. wendete mit Ihrer freundlichen Hilfe die "Umgehungs-GPO" an.

Ergebnis, 'cut-and-paste' einer Mail mit Cc: an alle Gesellschafter:

ich habe noch immer das Problem, dass der Drucker beim Drucken von Steuererklärungen einfach irgendwann aufhört zu drucken, so dass ich immer sämtliche Formulare kontrollieren muss um zu sehen an welcher Stelle ich den Druck erneut anstoßen muss.

Natürlich gehen jetzt auch tropfende Wasserhähne auf "meinen" Patch zurück.

Ich kann sowohl die "Chefs" als auch die Abteilungsleiter als auch die Admins verstehen, daß sie NICHT patchen.

Gruß HB

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Fri, 09 Jul 2021 19:04:56 GMT

@vogtsburger schrieb:

... habe die Erfahrung gemacht, dass eine "Sicherheitslücke bei Druckern" nicht ernst genommen wird.

Es wird generell übersehen, daß es grob fahrlässig ist, Microsoft-Betriebssysteme als Server einzusetzen. Die Schuld wird beim "bösen Chinesen" gesucht.

Entschuldigung, ich meine das ernst, für die Klug**bleep**erei, aber wir haben gerade im Windows-Druckspooler einige MASSIVE Konstruktionsfehler:

- warum muß überhaupt ein benutzergenerierter Spooljob mit Systemrechten laufen?

- warum ist der Spooler nicht, wie z.B. im "Stevens" mustergültig beschrieben, in unabhängige Einheiten unterteilt -- die Instanz, die Externjobs entgegennimmt, die Queue und das Backend mit dem Formatierer ? Unter MVS oder UNIX müssen Sie Externverbindungen explizit freigeben und können ACLs definieren.

- warum muß ich den Spooler überhaupt betreiben, wo ich in der Druckerdefinition von Windows auswählen kann, "Druck über Spooler" bzw. "direkt ans Gerät senden" ?

- gucken Sie sich die Übersetzungen im "Gruppenrichtlinieneditor" an. Einzige Chance: Versuchen, Wort für Wort in Englisch zu übersetzen, vielleicht fällt dann der Groschen.

Schönes Beispiel vom AIX-Spooler: "Pfeife gebrochen". War dann "broken pipe".

Nur war das bei AIX 1992 und Unix ist zwar konsequent auf Benutzerfreundlichkeit ausgelegt, ist aber sehr wählerisch in Bezug auf die Menschen, die es zu seinen Freunden zählt. "Windows" tritt ja mit ganz anderen Ansprüchen an.

- Schauen Sie sich das API für die Druckertreiberentwickler an. Das ist etwa der Umfang des Bundessteuerblatts.

- Der Spooler schleppt aus Kompatibilitätsgründen alle möglichen Features mit, die heute keiner mehr will oder braucht, beispielsweise die (eigentlich geniale) Idee mit dem "EMF II". Gerade über solche Altinterfaces finden geübte Hacker schöne Einfallstore.

Viele wichtige Subsystemen von "Windows" sind veraltete Fehlkonstruktionen.

Die (sinnvolle) "Benutzerkontensteuerung" wurde ja erst mit "Vista" aufgepfropft.

Was bei uns fehlt, ist die Fehlerkultur. Bei den Atomkraftwerken hat man gottseidank erkannt, daß Leichtwasserreaktoren mit Druckgefäßen aus austenitischem Stahl NICHT beherrschbar sind.

Diese Einsicht fehlt bei Microsoft - Produkten. Der "Datenschutz" ist da das kleinste Problem -- es ist schlichtweg grob fahrlässig, unternehmenskritische Anwendungen unter "Windows" zu fahren. Die "Grundsätze der ordnungsgemäßen Buchführung" (wie es auch immer tagesaktuell heißt) können nicht eingehalten werden.

VERANTWORTLICH sind die Geschäftsführer, die immer wieder diesen Mist kaufen und Mitarbeiter nötigen, andere in Gefahr zu bringen. Wenn ein Spediteur einen Fahrer zwingt, mit blanken Reifen zu fahren, dann landet er bei einem Unfall zurecht im Knast.

DAS müßte passieren bei einem "Unfall" infolge grob fahrlässigen Einsatzes von "Windows".

Ja, ja, es ist Klug**bleep**erei, Sie haben recht.

Nur können "wir" ewig so weitermachen ?

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

peter — Sat, 10 Jul 2021 05:08:39 GMT

Hallo,

zusätzlich zur Installation des Patches sollten noch Einstellungen in der Registry geprüft werden:

https://www.borncity.com/blog/2021/07/10/microsoft-zur-printnightmare-schwachstelle-cve-2021-34527-windows-ist-nach-patch-sicher/

bzw

https://www.heise.de/news/Microsoft-haelt-an-Funktionsweise-vom-PrintNightmare-Patch-fest-6133003.html

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Sun, 11 Jul 2021 10:17:57 GMT

Der Born Bog hat es nochmal schön zusammengefasst: Nachbereitung zum Kaseya-Lieferkettenangriff mit Verweis auf Kaseya VSA: Wie die Lieferketten-Angriffe abliefen und was sie für uns bedeuten

Daher an dieser Stelle ein fetter Dank 🙏 an alle DATEV Mitarbeiter 👩👨, die an SaaS Lösungen arbeiten und sich dem Thema IT-Sicherheit annehmen; an alle, die mit DATEVasp und Smart IT in jeglicher Hinsicht zu tun haben und auch an DATEV , die alles tut, um es Kaseya nicht gleich zu tun.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Sun, 11 Jul 2021 11:38:14 GMT

@metalposaunist schrieb:
Der Born Bog hat es nochmal schön zusammengefasst: Nachbereitung zum Kaseya-Lieferkettenangriff mit Verweis auf Kaseya VSA: Wie die Lieferketten-Angriffe abliefen und was sie für uns bedeuten

Sehr anschaulich beschrieben.

Und wir sollten alle daran denken:

Jeder, der ein "Virenschutzprogramm" oder "TeamViewer" einsetzt, der betreibt auch ein passives "remotemanagement". Man verbreitert die Angriffsfläche enorm.

Entweder die Agentensoftware wird wie im Beispiel Kaseya direkt kompromittiert und die "Schutzsoftware" holt reichlich Kollegen an Bord oder man schiebt dem "Antivir" Signaturen valider Programme unter, die dann massakriert werden.

Ein Spaßvogel hat einmal einen "Virus" gebaut mit der einzigen "Wirkung", auf der einen Seite als Virus erkannt zu werden und auf der anderen Seite die gleiche Signatur aufzuweisen wie die 'termserv.dll'. Was haben wir gelacht -- nicht einmal administrativer Zugriff klappte. Innerhalb kürzester Zeit konnte man die Systeme wiederherstellen, doch gelernt hat keiner draus.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

vogtsburger — Sun, 11 Jul 2021 13:15:17 GMT

... und was ist das Fazit ?

... jeder lötet sich sein eigenes Koppelfeld und übergibt dem IT-ler seines Vertrauens den analogen und digitalen Generalschlüssel zu seiner IT-Infrastruktur und zu seinem Leben ?

... oder man geht besser gleich zu .... , etwa wie in der alten OBI-Werbung https://www.youtube.com/watch?v=8Xoon0jVPRA😄

Nachtrag:

.. führt natürlich schnurstracks zur Frage "... aber wer ist eigentlich OBI ?" , etwa wie in der "du darfst"-Werbung (https://www.youtube.com/watch?v=FNZyCK1HwXM), wobei ich hier natürlich für nichts und niemanden Werbung machen will 😄

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Sun, 11 Jul 2021 12:45:45 GMT

@metalposaunist

ich frage mich, mit welchem datev tool datev die systeme überwacht.

ich hatte vor jahren auch mal p*tg ausprobiert, allerdings hat sich das auch so sehr ins system gefressen.. es kann, bei grossen farmen, die arbeit aber erheblich erleichtern. macht aber ggfs ein neues einfallstor auf…

ansonsten könnte ich @Koppelfeld sehr gut verstehen, wenn ich ahnung davon hätte ;-).

für mich ist das problem mit dem patch erstmal erledigt.. die point-gpo haben vermutlich die wenigsten kanzleien im datev-umfeld konfiguriert.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Sun, 11 Jul 2021 14:45:16 GMT

@vogtsburger schrieb:

... und was ist das Fazit ?

... jeder lötet sich sein eigenes Koppelfeld und übergibt dem IT-ler seines Vertrauens den analogen und digitalen Generalschlüssel zu seiner IT-Infrastruktur und zu seinem Leben ?

Eine RIESENGEFAHR. Egal, ob der DV-Verantwortliche im Haus sitzt oder außer Haus.

Das Fazit ?

Ganz sicher erst einmal AUFMERKSAMER werden, das was bei KASEYA funktioniert hat, das könnte auch mit KASPERSKY klappen. Daher: Auf keinen Fall nur auf die Security-Software verlassen.

Die DATEV drängen, mit aller Kraft an der "SaaS" - Plattform zu arbeiten.

Man kann auch konkret im Vorfeld etwas tun und würde damit auch andere Probleme lösen, vor 20 Jahren wurde das Konzept als "optische Firewall" bezeichnet:

Die existenzwichtigen Basissysteme dürfen keine Verbindung zur Außenwelt haben mit einer Ausnahme: ein vorgeschaltetes 'application level gateway'.

Also: DATEV-FILE und DATEV-WTS untereinander direkt ohne Switch dazwischen mit 10 GB/s zusammenklemmen. WTS mit einem zweiten Interface, welches nur RDP akzeptiert, an den Gateway-Rechner.

Der forwardet NIE IP-Pakete direkt, sondern geht mit einem anderen Protokoll an die Arbeitsplätze. Das können dann komplett vervirte oder verwanzte Heimarbeitsplatzrechner sein.

Wenn man nun Mail oder Internetbrowser braucht: Die kann man problemlos, analog zum Fernseher mit "Bild-in-Bild" - Technik, zusätzlich einblenden. In Wirklichkeit laufen sie aber auf einem Service-Rechner. Wenn der abraucht, dann bleibt das DATEV-Core stehen.

Man muß nur selbst Vorkehrungen treffen, daß man die mit DATEV vertraglich vereinbarte Nutzeranzahl nicht überschreitet, denn der WTS "sieht" nur einen einzigen Nutzer.

Wie Herr Bohle schon erwähnt hat, benötigt man auch "andere" Office-Lizenzen, für die ein Volumenlizenzvertrag Voraussetzung ist. Das kann man umgehen, indem man LEGAL gebrauchte Lizenzen bei seriösen Anbietern erwirbt. Das ganze Procedere ist nicht unaufwendig. Schließlich braucht es auch noch einen Proxy, der handverlesene Verbindungen bspw. zur DATEV durchläßt.

Das wäre EIN mögliches Schutzkonzept, welches tatsächlich in der Praxis läuft, sich aber erst ab 10 Arbeitsplätzen rentiert. Heiß aber: Reichlich Eigenarbeit und Verzicht auf viele schöne Funktionen, z.B. Mailintegration.

Was mir fehlt in den "Verwaltungsberufen":

Jeder Elektriker weiß, wie er eine Unterverteilung auslegen muß. Kabelquerschnitte, Überspannungsschutz, Leitungsschutz, FI. Differenziert nach Einsatzfällen, Feuchtraum, Industrie, Art der Leitugsverlegung usw. usf.. Da gibt es einschlägige Vorschriften, wie eine Anlage auszusehen hat. Und bei Inbetriebnahme wird sie abgenommen.

Jeder Stahlbauer weiß, "Wenn ich zwei U-Profile 'Rücken-an-Rücken' verbaue, dann müssen die einen gewissen Mindestabstand haben, damit keine Korrosion droht". Und noch tausenderlei andere Dinge. Der Stahlbauer muß seine Mitarbeiter auch regelmäßig zum TÜV schicken, damit die ihren "Großen Schweißnachweis" erneuern.

Nur in der Verwaltung darf jeder machen, WAS er will und WIE er will.

Hier ist es notwendig, gewisse Mindestanforderungen an informationstechnische Systeme zu formulieren und die Einhaltung dieser Anforderungen zu prüfen. Ein Spooljob, der mit Adminrechten läuft, war schon in den 90ern ein Unding. Relativ frühzeitig etablerten sich POSIX und XPG3 mit wenigstens AIX, Solaris, Tru64, HP-UX, MAC-OS(!!!!) und z/VM als konformen Systemen. Serverbetriebssystemen wohlgemerkt.

Wer auf die Idee gekommen ist, stattdessen Windows und Linux auf einer Heimplattform als Produktionsmittel zu nutzen - das war wohl eher "topping from the bottom", weil jeder Mitarbeiter so lange quengelte, bis er "seinen" PC auf dem Tisch hatte.

Früher gab es kreative, kompetente DATEV-Partner wie beispielsweise de Uli Giesen, der nebenher auch einer der größten Partner in NRW war. Es fand zwischen seiner Firma und Datev auch ein reger Informationsaustausch statt und man schätzte sich gegenseitig.

Dann wurde DATEV immer restriktiver, viele Top-Partner hatten die Nase voll, viele schlechte blieben. Gleichzeitig wird die Administration immer anspruchsvoller und komplexer, nur noch übertroffen von der Bedrohungslage.

Als gößere Kanzlei würde ich stets einen Berater beauftragen, der MEIN Partner ist und nicht Partner von Microsoft oder DATEV. Aber gibt es so etwas ?

Mindestes ein Mitglied in diesem Forum verfügt über jede Menge Erfahrung, die er bereitwillig teilt - und das in verständlicher, konziser Form. Wenn man das Wissen dieser Mitglieder zu einem "Referenzhandbuch DATEV - Betriebskonzept" kondensieren könnte, dann wäre vielen geholfen. Als weiterer Vorschlag.

Ich wünschte, ich hätte bessere Ideen.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

einmalnoch — Mon, 12 Jul 2021 06:17:57 GMT

Hm, wenn ich das so lese frage ich mich ob SaaS die absolute Lösung ist. Der Angriff auf das Kaseya System fand gegen die Plattform statt und die ist eine SaaS Lösung.

Ich bin der Meinung das sehr viele Cloud mit Rechenzentrum verwechseln. Sicher war das Rechenzentrum nur weil es kaum Dialoganwendungen gibt. Klar, wenn ich die Daten auf Kasette erfasse und dann für den Batchbetrieb ins RZ sende ist das sicher, einen Produktivitätsschub kann ich nicht erwarten.

Wie viele Angriffe gibt es aus Systeme auf denen die tollen Cloudanwendungen laufen? Mehr als genug. Und welche Betriebssysteme werden genutzt? Bestimmt keine Mainframe Systeme. Ich empfehle einmal sich mit dem Aufbau der Datensammlungssysteme am CERN auseinanderzusetzen, der Mainframe steht sehr weit hinten.

Auch windows hat sich weiterentwickelt, DATEV ist aufgrund vieler veralteter Strukturen aber nicht in der Lage die modernen Sicherheitsmechanismen mitzugehen. Die neue Rechteverwaltung hat bei mir zu einem großen Rückschritt in Sachen Sicherheit des AD geführt.

Und leider müssen wir alle drucken. Und leider verlangt DATEV für die userbezogene Kommunikation mittels REST eine Internetverbindung.

Und zur Produktivitätsverbesserung trennen wir jetzt Mail und Kalender vollständig und machen das wieder mit der Hand.

Zu jedem Punkt der vermeintlichen Sicherheit gibt es auch einen Punkt der diese wieder aufhebt. Es lebe die DES IV, mit den Wartezeiten auf den Konzentrator.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

chrisocki — Mon, 12 Jul 2021 06:58:59 GMT

Moin, moin,

@Koppelfeld schrieb: Wer auf die Idee gekommen ist, stattdessen Windows und Linux auf einer Heimplattform als Produktionsmittel zu nutzen - das war wohl eher "topping from the bottom", weil jeder Mitarbeiter so lange quengelte, bis er "seinen" PC auf dem Tisch hatte.

Die Wurzel allen Übels... Zu meiner Schulzeit war es doch "Usus" Kopien von allen Disketten anzufertigen, die nicht bei Drei auf dem Baum waren. Egal ob Spiele, Windows, Office...

Und so hat sich das "Zeugs" verbreitet... Und plötzlich sollte man im Büro mit irgendwelchen "Editoren" schaffen, wo doch die im privaten Bereich genutzte Windows-Oberfläche viel "bunter" und "schöner" war...

Nun haben wir den Salat. Windows ist schlicht in allen Bereichen vorhanden und los werden wir es mit Sicherheit nicht mehr.

@Koppelfeld schrieb:
Die existenzwichtigen Basissysteme dürfen keine Verbindung zur Außenwelt haben mit einer Ausnahme: ein vorgeschaltetes 'application level gateway'.
Also: DATEV-FILE und DATEV-WTS untereinander direkt ohne Switch dazwischen mit 10 GB/s zusammenklemmen.   WTS mit einem zweiten Interface, welches nur RDP akzeptiert, an den Gateway-Rechner.
Der forwardet NIE IP-Pakete direkt, sondern geht mit einem anderen Protokoll an die Arbeitsplätze.   Das können dann komplett vervirte oder verwanzte Heimarbeitsplatzrechner sein.
Wenn man nun Mail oder Internetbrowser braucht: Die kann man problemlos, analog zum Fernseher mit "Bild-in-Bild" - Technik, zusätzlich einblenden. In Wirklichkeit laufen sie aber auf einem Service-Rechner.   Wenn der abraucht, dann bleibt das DATEV-Core stehen.

Im Kern bin ich bei Ihnen. Produktionsnetz getrennt vom restlichen Teil der Welt.

Aber zeigen Sie mir mal bei den 40.000 Mitgliedern auch nur ein Netz, was genauso aufgebaut ist und dann noch alle "Vorteile" von MS Teams, Mails, USB-Sticks etc. abbilden kann, ohne dass sich der Endbenutzer (Kanzleiinhaber?!?) den Strick nimmt...

Und nicht falsch verstehen, ich bin auf Ihrer Linie, aber umsetzen UND nutzen, ist eine gänzlich andere Welt!

@einmalnoch schrieb: Auch windows hat sich weiterentwickelt, DATEV ist aufgrund vieler veralteter Strukturen aber nicht in der Lage die modernen Sicherheitsmechanismen mitzugehen. Die neue Rechteverwaltung hat bei mir zu einem großen Rückschritt in Sachen Sicherheit des AD geführt.

Da würde ich mal widersprechen wollen:

1. Die Rechteverwaltung hat so gar nichts mit dem AD zu tun. Es wird lediglich ein Benutzer aus dem AD mit dem Benutzer in der RV verknüpft. Daraus ergeben und ergaben sich noch NIE Rechte.

Oder spielen Sie auf das "Rückschreiben" ins AD an? Aus gutem Grund hat DATEV das auf "nur lesen" gesetzt. Klar, kann auch schreibend gesetzt werden, dann sollte man aber wissen, was man tut...

2. DATEV hat seit Jahren in den Admin-Workshops und Systemtechnikerschulungen das Konzept verbreitet "wo geschrieben werden kann, dürfen keine Anwendungen ausgeführt werden". Bei Neuinstallationen kann das auch entsprechend umgesetzt werden. Bestandsanlagen, nun ja, da muss halt ein Wissender ran.

3. DATEV hat auch seit Jahren den Styleguide von MS umgesetzt: Programme nach "Program Files" und Daten nach "ProgramData". Keine eigenen Verzeichnisse mit "Vollzugriff".

Viele andere Softwarehersteller können sich hier mal eine dicke Scheibe abschneiden.

4. DATEV-Software wird zumindest gepflegt. Mag in einzelnen Anwendungen die GUI veraltet herkommen und nicht mehr zeitgemäß sein, Software die nur Windows-XP kennt und auf Windows 10 nur mit Adminrechten läuft, gibt es aus dem Hause DATEV nicht.

Und bei vielen Betrieben ist genauso noch Software im Haus. Das genau diese Netze verschlüsselt werden, kein Wunder. Diese habe ich aber auch seit langem schon aus Eigenschutz nicht mehr in der Betreuung. Warum wohl?

5. Was an Windows ist denn eine ausgefeilte Sicherheitsstruktur? Insbesondere, wenn der Installbenutzer mit Admin-Rechten durch die Gegend läuft? UAC hin oder her, der Benutzer klickt schneller OK wie der Admin ihm auf die Finger hauen kann... OK, der Admin gehört auch geschlagen, wenn er Admin-Rechte einräumt...

@einmalnoch schrieb: Und leider müssen wir alle drucken. Und leider verlangt DATEV für die userbezogene Kommunikation mittels REST eine Internetverbindung.

Und? Die IP- & Namensbereiche von DATEV sind bekannt und dokumentiert. Dann lassen Sie doch die entsprechenden Rechner nur mit den Bereichen kommunizieren (nur SSL) und fertig.

Drucken... Wir hätten schon lang drucken bei den StE deutlich vereinfachen können. Aber nein, aufgrund eines Urteils und somit folgenden Haftungsbedenken müssen oder wollen Kanzleien weiterhin komplette Formularstapel ausgeben, obwohl keine Zahlen auf einzelnen Seiten stehen... Irrsinn, der aber nicht von DATEV kommt.

Deutschland digital... ich werd es nicht mehr erleben...

Beste Grüße
Christian Ockenfels

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Mon, 12 Jul 2021 08:25:35 GMT

@einmalnoch schrieb:
Hm, wenn ich das so lese frage ich mich ob SaaS die absolute Lösung ist. Der Angriff auf das Kaseya System fand gegen die Plattform statt und die ist eine SaaS Lösung.

Da haben wir wieder sie Sprachverwirrung, ich hätte "SaaS" nie verwenden dürfen.

Mit Stand heute verwenden Banken, große Möbelhäuser, große Speditionen immer noch terminalbasierte Programme. Da steht dann ein hochverfügbares AS/400- oder MVS-System in einem zentralen Rechenzentrum. Ein wohl allen bekanntes, im süddeutschen Raum sehr präsentes Möbelhaus hat zwei Mitarbeiter, die mit einer AS/400 etwa 90% des Tagesgeschäftes erledigen. Weitere 28 kümmern sich um die 10% Windows-Anwendungen.

Ich bin der Meinung das sehr viele Cloud mit Rechenzentrum verwechseln.

Ja. Ich meinte "Rechenzentrum" mit zentralen, interaktiven Anwendungsservern.

Sicher war das Rechenzentrum nur weil es kaum Dialoganwendungen gibt. Klar, wenn ich die Daten auf Kasette erfasse und dann für den Batchbetrieb ins RZ sende ist das sicher, einen Produktivitätsschub kann ich nicht erwarten.

Sie werden lachen: Zwei Damen in einer Kanzlei, für die ich arbeite, behaupten das genaue Gegenteil, auch mit Hinweis auf den Silopuffer, der überlappende Eingaben erlaubte.

Die Batch-Zeiten sind aber gottseidank vorbei, im wesentlichen auch im Rechenzentrum.

Wie viele Angriffe gibt es aus Systeme auf denen die tollen Cloudanwendungen laufen? Mehr als genug. Und welche Betriebssysteme werden genutzt? Bestimmt keine Mainframe Systeme. Ich empfehle einmal sich mit dem Aufbau der Datensammlungssysteme am CERN auseinanderzusetzen, der Mainframe steht sehr weit hinten.

Typischerweise hat man heute EIN EINZIGES Client-Programm für zentralisierte Rechenzentrumslösungen, das kann das JAVA-basierte SAP-Platin-GUI sein, manche machen es aber auch sehr schlank. Es kann aber bereits ein TELNET-Client sein, der ist auch heute noch erstaunlich effektiv. Und MODERN, denn durch die permanente Verbindung habe ich auch eine 'statusbehaftete' Sitzung. Das ist jetzt bei den "Webdesignern" der letzte Schrei, sie nennen es "websockets".

Der Sicherheitsgewinn entsteht durch

- Minimierung der Anzahl der Clientprogramme

- Weglassen gefährlicher "Bypässe" wie bspw. der "Font-Schnittstelle"

- "Multikulti" statt Monokultur: Wenn Sie nur Grünkohl anpflanzen und ein Schädling macht sich breit, dann haben Sie ein Problem. So eine Hostanwendung unterscheidet sich nicht nur hinsichtlich des Trägerbetriebssystems, sondern auch durch den Prozessorcode.

- Sorgfältigere Administration: Die 'Hosties' nehmen i.d.R. mehr Verantwortung wahr als die PC-Programmierer.

- Einfache, wirksame Datensicherung

- Einsatzmöglichkeit von Thin Clients. Das geht auch graphisch, mit einem INTEL NUC ab core i3 läuft das richtig gut.

- Das Monitoring kann zentralisiert werden und daher findet es statt.

Soweit man es mir erzählt hat (DATEV-Berater), läuft die neue Plattform "Unternehmen Online" wieder auf "großen Eisen". Es hat - natürlich - auch dort schon Engpässe gegeben, nachdem einer der redundanten Hosts in der Wartung war. Der Betrieb solcher Systeme ist aber anerkannterweise bei DATEV in allerbesten Händen.

Was ich selbst gesehen habe, hat mir sehr gut gefallen.

Zu jedem Punkt der vermeintlichen Sicherheit gibt es auch einen Punkt der diese wieder aufhebt. Es lebe die DES IV, mit den Wartezeiten auf den Konzentrator.

Da weiß jemand, wovon er spricht. Allerdings: Wir betreuen 20% Kunden mit Windows und die "verursachen" 95% der Störfälle.

Es wäre schön, von der DATEV einmal etwas zum Thema "Sicherheit mit Cloud-Anwendungen" zu hören.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Mon, 12 Jul 2021 08:53:22 GMT

@chrisocki schrieb:
Im Kern bin ich bei Ihnen. Produktionsnetz getrennt vom restlichen Teil der Welt.

Aber zeigen Sie mir mal bei den 40.000 Mitgliedern auch nur ein Netz, was genauso aufgebaut ist und dann noch alle "Vorteile" von MS Teams, Mails, USB-Sticks etc. abbilden kann, ohne dass sich der Endbenutzer (Kanzleiinhaber?!?) den Strick nimmt...

Und nicht falsch verstehen, ich bin auf Ihrer Linie, aber umsetzen UND nutzen, ist eine gänzlich andere Welt!

Den Schlüssel haben Sie ja benannt: Die Kanzleileitung muß dahinterstehen.

Und ja, wir haben zwei Kunden, die so arbeiten, eine Kanzlei mit 18 Mitarbeitern und ein Unternehmen, das selber mit DATEV bucht.

Gut, statt "Teams" hat es eine "normale" Asterisk-TK-Anlage, aber bereits die Telephone hängen zwar physisch an der gleichen Strippe wie die Arbeitsplätze, aber in einem separaten VLAN. Mail kommt von einem Linux-Rechner, Kalender sind davon getrennt.

Es gibt keine "Mandanten-Sticks". Es gibt aber auch keinen "Virenschutz". Das Konzept haben wir aufgesetzt, als "Windows Server 2003" herauskam, mMn das erste brauchbare "Windows NT". Das läuft jetzt fast 20 Jahre.

Den ganzen "Zucker" wie Videokonferenzserver, Buntbrause, Zeitdatenerfassung etc. kann man auf einen (virtualisierten) Servicerechner auslagern und "einblenden".

Keine zwanzig Meter daneben steht die Nachbarkanzlei, die es "endlich bequemer" haben wollte. Früher hingen die 20 Mitarbeiter zusaätzlich an "unserer" EDV, danach haben sie umgestellt auf "klassischen" Betrieb. Etwa 15.000,-- p.a. mußten die Kanzleien an DATEV-Lizenzen zusätzlich zahlen, weil sie aus einer Art "Rabattgruppe" fielen.

Plötzlich mußte "lokal" administriert werden.

Und nach einem halben Jahr war er dann da: Der Erpressungstrojaner.

Jetzt sind sie auf "ASP" gewechselt, funktioniert auch, aber ist auch nicht mehr so bequem, hat Herr Bohle ja unlängst ausgeführt. Und bei 20 Leuten ist das auch sehr teuer.

Unterm Strich haben Sie recht:

Ein "Mehrkammersystem" wie beim Schlauchboot mit "galvanisch" getrenntem Servercore ist schon sehr aufwendig. Noch so ein Ding wollte ich mir als Betreuer nicht ans Bein binden.

Auf der anderen Seite ist der Produktionsgewinn durch die im Vergleich zum Einzelplatz deutlich höhere Performance nicht zu verachten.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Tue, 13 Jul 2021 19:28:07 GMT

@metalposaunist schrieb:
Dann entfällt wohl am DI, 13. Juli der klassische Patchday?

Nein, tut er nicht. Microsoft hat heute 100 Lücken und 13 kritische davon gepatcht.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Wed, 14 Jul 2021 10:53:59 GMT

patchen, patchen, patchen ⬆️⚠️: Microsoft-Patchday: Angreifer nutzen vier Sicherheitslücken in Windows aus

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

einmalnoch — Wed, 14 Jul 2021 11:58:06 GMT

Hast Du schon geflickt? Wie reagiert DATEV auf die Patchimpfung?

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

pascal_duennebacke — Wed, 14 Jul 2021 12:01:24 GMT

Leider hat sich DATEV noch nicht zur Kompatibilität geäußert. Dauert ja in der Regel ein paar Stunden/Tage.

Wir haben unsere Systeme heute Nacht schon gepatcht und bislang läuft alles problemlos.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

einmalnoch — Wed, 14 Jul 2021 12:09:15 GMT

@pascal_duennebacke schrieb:
Leider hat sich DATEV noch nicht zur Kompatibilität geäußert. Dauert ja in der Regel ein paar Stunden/Tage.

Wir haben unsere Systeme heute Nacht schon gepatcht und bislang läuft alles problemlos.

Danke für die Antwort.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

einmalnoch — Fri, 16 Jul 2021 08:47:58 GMT

Irgendwie komme ich mir vor als grüßte das Murmeltier:

https://www.heise.de/news/Warten-auf-Patches-Neue-Drucker-Luecke-in-Windows-entdeckt-6140346.html

Evtl. sollte MS den Printspooler Dienst einmal in Nightmare Spooler umbenennen.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

renek — Fri, 16 Jul 2021 08:49:57 GMT

OMG, hilft wohl wirklich nur noch handgeschriebenes... 😖

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Fri, 16 Jul 2021 09:09:52 GMT

Ich will niemanden vorführen ☝️ bitte nicht falsch verstehen! Aber dann macht DATEV groß Werbung mit einem YouTube Video bzgl. des neuen Geschäftspost Druck 🖨? 😲

Timing ist echt alles 😶. Wenn es asp Systeme sind; na gut, okay. Der Hoster wird vermutlich alles tun, um die Systeme abzusichern aber unser einer als "normaler" IT-Techniker? Wir basteln uns GPOs, um nicht den Turnschuh anziehen zu müssen und killen dann ggf. mehr als notwendig ...

Wie war das beim #DigiCamp? Kontextkompetenz? 😇

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

pascal_duennebacke — Fri, 16 Jul 2021 09:12:52 GMT

Toller Workaround, den Spooler wieder zu deaktivieren.
Dann geht wieder kein PDF-Druck und kein normales Drucken.

Zum Glück ist heute nur ein kurzer Arbeitstag. Ich hoffe auf das Wochenende für bessere Workarounds oder weitere Informationen.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Fri, 16 Jul 2021 09:38:54 GMT

Hallo,

gibt es einen Workaround von DATEV wie ich ohne Spooler und dabei ohne Einschränkungen in Rewe, den Steuerprogrammen usw. drucken kann?

Das Thema ist ja lästig...

Bringt es was, wenn ich den Druckerserver auf einer Maschine außerhalb der Domain auslagere?

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

renek — Fri, 16 Jul 2021 09:51:53 GMT

@Gelöschter Nutzer schrieb:
Bringt es was, wenn ich den Druckerserver auf einer Maschine außerhalb der Domain auslagere?

Würde mich auch interessieren welche Alternative zur Sicherung es gibt.

Eine Alternative zum Windows Drucker Spooler scheint es ja nicht zu geben. Zumindest wenn man mit Netzwerkdruckern arbeitet...

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Fri, 16 Jul 2021 10:13:03 GMT

Wenn ich jetzt die Option aktiviere "Druckaufträge direkt zum Drucker leiten" müsste er doch eigentlich den Spooler umgehen?

Zumindest druckt er damit so eine 30 seitige ESt-Erklärung ohne Probleme schnell durch.. müsste man nur noch eine passende GPO für haben.

Jagut, der "Workaround" steht auch schon bei Borns und co im März:

https://www.borncity.com/blog/2021/03/11/neues-zum-druckerproblem-bsod-nach-mrz-2021-update/

Scheint das Problem nicht unbedingt zu beseitigen..

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

einmalnoch — Fri, 16 Jul 2021 10:11:45 GMT

@Gelöschter Nutzer schrieb:
Hallo,

gibt es einen Workaround von DATEV wie ich ohne Spooler und dabei ohne Einschränkungen in Rewe, den Steuerprogrammen usw. drucken kann?

Das Thema ist ja lästig...

Bringt es was, wenn ich den Druckerserver auf einer Maschine außerhalb der Domain auslagere?

Nein, das ist ja das Perfide an dieser Lücke. Der Printspooler wird auf allen (!) Windows Rechnern benötigt, auf welchen gedruckt werden muss. Wie sollen die Druckdaten vom Windows Netzwerkcomputer aufbereitet auf den Computer außerhalb des Netzwerkes kommen? DATEV braucht für die Aufberitung der Druckdaten das Windows Drucksystem, mit dem Printspoolerdienst. Henne - Ei, oder anders herum.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Fri, 16 Jul 2021 10:17:48 GMT

@einmalnoch

zumindest kommt er da nicht theoretisch irgendwie an administrative Accounts.. so war mein gedanke.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

einmalnoch — Fri, 16 Jul 2021 10:25:22 GMT

Printspooler ≠ Druckerwarteschlange.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

einmalnoch — Fri, 16 Jul 2021 10:27:38 GMT

@Gelöschter Nutzer schrieb:
@einmalnoch

zumindest kommt er da nicht theoretisch irgendwie an administrative Accounts.. so war mein gedanke.

Schon klar und ist ein guter Gedanke, aber in der heutigen Zeit der Zusammenarbeit unter DATEV wohl wenig praktikabel.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Fri, 16 Jul 2021 10:42:31 GMT

Cool 😎 wäre es ja im Sinne des genossenschaftlichen Gedanken, wenn sich die Techniker von DATEVasp und Smart IT einmal mit einer Art Best Practice melden würden, oder? 😉

Oder wenn diese erklären würden, was sie dagegen unternommen haben. Von mir aus in einem extra Beitrag / geschützt auf der Homepage der DATEV, wenn es wegen der Öffentlichkeit und der damit verbundenen höheren Angriffsmöglichkeit Probleme gibt.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Fri, 16 Jul 2021 11:06:39 GMT

Ist das Thema denn für uns durch, wenn ich alle als „Direktdruck“ einrichte?

Vlt kann Datev dazu was sagen?

Ohne Spooler zu drucken würde uns vermutlich fast nicht einschränken..

geht pdf als direktdruck?

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

siro — Fri, 16 Jul 2021 11:30:27 GMT

Ohne spooler Dienst kein Druck !

Impact of workaround Stopping and disabling the Print Spooler service disables the ability to print both locally and remotely.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Fri, 16 Jul 2021 11:40:56 GMT

Tipp: Sollten Sie Ihren Drucker nur selten verwenden, können Sie den Spooler-Dienst auch komplett ausschalten. Insofern umgehen Sie direkt Fehler und übermitteln alle Druckaufträge an den Drucker, ohne Umwege.

https://www.tonerpartner.de/spooler/

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

einmalnoch — Fri, 16 Jul 2021 12:12:22 GMT

@Gelöschter Nutzer schrieb:
Tipp: Sollten Sie Ihren Drucker nur selten verwenden, können Sie den Spooler-Dienst auch komplett ausschalten. Insofern umgehen Sie direkt Fehler und übermitteln alle Druckaufträge an den Drucker, ohne Umwege.

https://www.tonerpartner.de/spooler/

Das Windows Spooler Subsystem kümmert sich um alle Belange des Druckens auf einem Windows Rechner, es wird leider Druckerwarteschlange bezeichnet, die eigentliche Warteschlange ist nur ein kleiner Teil des Dienstes.

Die Beschreibung in den Eigenschaften des Dienstes:

Dieser Dienst spoolt Druckaufträge und verarbeitet Interaktionen mit dem Drucker. Wenn Sie diesen Dienst ausschalten, können Sie weder drucken noch Drucker anzeigen.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Fri, 16 Jul 2021 13:22:49 GMT

Ach, das ist doch **bleep**e..

Also der direkt eingerichtete Drucker wird mir noch angezeigt, alle anderen sind offline... dennoch kommt kein Druck raus. Irgendwie müssen die doch auch ohne Spooler laufen, sofern der Drucker das unterstützt.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

deusex — Fri, 16 Jul 2021 13:44:56 GMT

Seit drei Tagen nichts gedruckt, aber die Teilnahmeerklärung zum Kontoumsatzabruf durchbrach unseren "Run".

Einfach nichts mehr drucken ist die Lösung. Hinter dem Angriff stehen sicher "militante, salafistische Digitalisierende."

genderedit 😉

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Fri, 16 Jul 2021 13:32:17 GMT

*innen. ;-D

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Fri, 16 Jul 2021 13:34:51 GMT

@deusex schrieb:
Einfach nichts mehr drucken ist die Lösung.

Ohne DATEV kann man das bestimmt schon gut machen aber wenn DATEV selbst für eine Vorschau oder Ansicht intern druckt statt es anders aufzubereiten - ultra schwierig. Nachher muss man noch an die Crystal Reports ran und die ebenfalls so stricken, dass nichts mehr als Druck technisch aufbereitet wird und dann ist das aber Drittanbieter Software, wo DATEV wenig Einfluss drauf hat.

Also: abwarten auf 2026/2029 und der technisch Browserumsetzung 😬.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Sat, 17 Jul 2021 12:35:50 GMT

Update / Tipp: Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Tue, 20 Jul 2021 13:42:28 GMT

Und wie geht DATEV damit nun um? DATEVasp und Smart IT werden wohl sicher sein aber alle anderen Kanzleien? 🤔

Microsoft rät zum Abschalten des Windows-Druckerspoolers

Den Dienst kann man ja guten Gewissens nicht deaktivieren, wie wir alle festgestellt haben und bis zum 10. August, zum Patchday, sind es noch ein paar Tage zu gehen 😫.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Nutzer_8888 — Tue, 20 Jul 2021 15:24:23 GMT

Tja, dass das Abschalten des Spoolers als temporärer Fix gilt, ist in der Tat schon ziemlich bemerkenswert.

Vielleicht sollte mann lieber temporär alle Windows-Maschinen ausschalten?! Dies würde zusätzlich auch gegen alle aktuell völlig unbekannten Zero-Day-Nighmare Dinge helfen ...

Vielleicht sollten wir uns nicht zu verrückt machen und auf nun wohl folgenden weekly patchday einstellen 😉 - haben ja praktisch eh keine andere Wahl?! Mal sehen, ob heute Abend ein neues out of ... kommt?! Vielleicht kann diesmal ja auch ein "micropatch" stattt eines großem CU helfen?!

Derzeit steht zumindest die Untersuchung oder besser die klare Dokumentation der Ergebnisse von MS aus.

Wie DATEV hier agiert würde mich auch interessieren.

Achtung!: In meinem Post befindet sich etwas Zynik und auch Ironie, also nicht alles ernst nehmen!

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

renek — Wed, 21 Jul 2021 05:18:47 GMT

@metalposaunist schrieb:
Den Dienst kann man ja guten Gewissens nicht deaktivieren, wie wir alle festgestellt haben und bis zum 10. August, zum Patchday, sind es noch ein paar Tage zu gehen 😫.

Stimmt. Noch bitterer ist es, dass MS so blöd war und die Lücke veröffentlicht hat bevor ein Patch zur Verfügung steht. MS hatte ja noch Zeit bis 8. August...

https://www.golem.de/news/sicherheitsluecke-microsoft-raet-zum-abschalten-des-windows-druckerspoolers-2107-158276.html

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

einmalnoch — Wed, 21 Jul 2021 08:50:10 GMT

Damit auch keine Langeweile aufkommt:

https://labs.sentinelone.com/cve-2021-3438-16-years-in-hiding-millions-of-printers-worldwide-vulnerable/

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Wed, 21 Jul 2021 08:53:38 GMT

Wer in aller Hölle nutzt bitte HP & Samsung 😲? Xerox, nun gut aber HP? 🤢 Samsung? 🤢 Die von Waschmaschinen über Smartphones bis hin zu Fernsehern alles bauen?! Irgendwie lässt mich mein Gefühl selten im Stich.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

einmalnoch — Wed, 21 Jul 2021 09:15:32 GMT

Irgendwo stad, dass die betroffenen Samsung und Xerox HP OEM Geräte sind.😱

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Wed, 21 Jul 2021 09:20:01 GMT

hp 4xxx/2xxx steht immer schon in irgendwelchen büros.. 20 jahre alt, 200.000 seiten.. läuft ;-).

aber vermutlich immer weniger..

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Wed, 21 Jul 2021 09:36:33 GMT

@metalposaunist schrieb:
Wer in aller Hölle nutzt bitte HP & Samsung 😲? Xerox, nun gut aber HP? 🤢 Samsung? 🤢 Die von Waschmaschinen über Smartphones bis hin zu Fernsehern alles bauen?! Irgendwie lässt mich mein Gefühl selten im Stich.

HP Taschenrechner WAREN einmal undiskutierte Weltspitze, mein HP 19C von 1976 tut es immer noch.

Die neuen Modelle sind Mist. Alternative: https://www.swissmicros.com/product/dm42

HP Switches sind robust, die Firmware wird auch Jahre nach Einstellung einer Serie noch gepflegt. Die Konfiguration ist logisch und einfach, die Geräte arbeiten standardkonform, die Performance stimmt. Im Vergleich zu Cisco, Juniper und Extreme Networks sind die Preise günstig.

Nennen Sie bessere bezahlbare Switche ...

HP Drucker WAREN ebenfalls Weltspitze, bspw. LaserJet 4V, als Canon noch das Druckwerk lieferte. Die kleinen HPs sind Sondermüll, die "großen" sind o.K..

Was deren "Windows-Treiber" angeht -- katastrophaler geht es wohl nicht.

Die Alternative "Kyocera" macht unterdessen aber auch fiese Probleme.

M.E. ist HP das kleinere Übel - höre aber gern die Erfahrungen Anderer.

HP Server ? Wir haben jahrelang IBM-Blades propagiert und auch IBM/Lenovo Xseries eingesetzt. Bis wir im eigenen Rack dann einen HP DL380 hatten. Superdurchdachtes Design, konservative Auslegung, 1a Managementschnittstellen, hervorragende Leistung, geringe Leistungsaufnahme aus dem Netz.

HP ist Allerweltsmist ? Kann ich nicht nachvollziehen.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

andreashofmeister — Wed, 21 Jul 2021 09:52:51 GMT

@Gelöschter Nutzer schrieb:
hp 4xxx/2xxx steht immer schon in irgendwelchen büros.. 20 jahre alt, 200.000 seiten.. läuft ;-).

aber vermutlich immer weniger..

HP 9040/9050. Immer noch. Die halten ewig. Robust, Preiswert. Schade nur, dass deren Ventilatoren im Sommer nicht kühlen....

Mit einem davon haben wir über ein Viertelmillion Seiten gedruckt. Wird aber definitiv weniger.

In den letzten Jahren ist unser Druckvolumen um eine niedrige 6stellige Anzahl gesunken. Digitalisierung eben.....

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Wed, 21 Jul 2021 10:21:58 GMT

@andreashofmeister

um oder auf?

Wir machen immer noch relativ viel mit Papier.. ein Formulardrucker (im Schnitt 50% Seitendeckung oder sowas) hatte mit dem dritten Fuser knapp 500.000 Seiten runter. Dann hatte er Papierstau und ging in Rente.. die Teile halten teilweise ewig.. mit Samsung wird das - vermutlich - aber schwierig.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

andreashofmeister — Wed, 21 Jul 2021 10:24:31 GMT

@Gelöschter Nutzer schrieb:
@andreashofmeister
um oder auf?

Um eine niedrige 6stellige Zahl auf eine (noch) niedrige 7stellige Zahl.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Wed, 21 Jul 2021 10:33:57 GMT

oh, da geht dann aber auch noch was durch ;-).

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Michael-Renz — Wed, 21 Jul 2021 13:23:32 GMT

Hallo Community,

es geht weiter mit den Sicherheitslücken - jetzt sind die User-Passworte von Win 10 offen.

HiveNightmare: Nutzer können die Windows-Passwort-Datenbank auslesen | heise online

Das schreibt heise dazu!!!

"Workarounds für die Schwachstelle

Von Microsoft gibt es bisher keine Hinweise zur Beseitigung der Schwachstelle. Man könnte zwar die Schattenkopien löschen beziehungsweise abschalten, verliert dadurch aber die Möglichkeit, beschädigte Hives wiederherzustellen. Vom US-CERT gibt es in der entsprechenden Sicherheitswarnung den Vorschlag, die Zugriffsberechtigungen für die Gruppe Users durch die nachfolgenden Befehle, ausgeführt in einer administrativen Eingabeaufforderung, zu entziehen.

icacls %windir%\system32\config\sam /remove "Users"
icacls %windir%\system32\config\security /remove "Users"
icacls %windir%\system32\config\system /remove "Users"

Besser wäre es jedoch, die Zugriffsberechtigungen in verwalteten Umgebungen mittels Gruppenrichtlinie anzupassen. Die entsprechenden Registry-Einträge befinden sich unter Computerconfiguration ->Richtlinien ->Windows-Einstellungen ->Sicherheitseinstellungen ->Dateisystem.

Zudem sind im Anschluss an die Ausführung der obigen Befehle alle VSS-Schattenkopien des Systemlaufwerks zu löschen - andernfalls ließen sich die Informationen weiterhin auslesen. Allerdings besteht die Gefahr, dass die geänderten Zugriffsrechte Folgeprobleme auslösen."

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

renek — Wed, 21 Jul 2021 13:24:23 GMT

Ich will nimmer 😭

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Wed, 21 Jul 2021 13:29:35 GMT

Für HiveNightmare hier entlang 😉: HiveNightmare: Nutzer können die Windows-Passwort-Datenbank auslesen

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

andreashofmeister — Wed, 21 Jul 2021 13:30:40 GMT

@renek schrieb:
Ich will nimmer 😭

Also doch Linux?

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

einmalnoch — Wed, 21 Jul 2021 14:34:27 GMT

@andreashofmeister schrieb:
@renek schrieb:
Ich will nimmer 😭
Also doch Linux?

Na ja, CUPS ist ja auch nicht davor gefeit:

https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/2021/03/warnmeldung_cb-k20-1190_update_8.html

oder

https://www.golem.de/news/it-sicherheit-etwa-80-000-drucker-sind-im-internet-offen-ansteuerbar-2006-149276.html

CUPS = Common Unix Printer System

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

RAHagena — Wed, 21 Jul 2021 14:36:39 GMT

Heise schreibt vor allem "Maschinen, die sich in einer Domäne befinden, sind demnach selten betroffen", damit dürfte sich dieses Problem für die Meisten vermutlich nicht stellen.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Gelöschter Nutzer — Wed, 21 Jul 2021 15:08:54 GMT

wann hab ich mich zuletzt als lokaler admin eingeloggt.. jahre her. da dürfte nichts (mehr) sein.. oder hab ich das Problem falsch verstanden?

Falls nicht, dürfte es den meisten Kanzleien nicht anders gehen..

Warum heißen die Dinger mittlerweile immer "Nightmare"?

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

einmalnoch — Wed, 21 Jul 2021 16:09:31 GMT

@Gelöschter Nutzer schrieb:
wann hab ich mich zuletzt als lokaler admin eingeloggt.. jahre her. da dürfte nichts (mehr) sein.. oder hab ich das Problem falsch verstanden?
Falls nicht, dürfte es den meisten Kanzleien nicht anders gehen..

Warum heißen die Dinger mittlerweile immer "Nightmare"?

Weil der Albtraum auf Englisch eben gefährlicher klingt.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Wed, 21 Jul 2021 19:20:52 GMT

@einmalnoch schrieb:
@andreashofmeister schrieb:
@renek schrieb:
Ich will nimmer 😭
Also doch Linux?
Na ja, CUPS ist ja auch nicht davor gefeit:

https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/2021/03/warnmeldung_cb-k20-1190_update_8.html

"CUPS" ist ein Nachbau des Windows-Pendants. Nur mit der Performance hapert es und es ist *noch* unzuverlässiger.

Wer den Microsoft-Mist nachbaut, völlig ohne Konzept, der erntet Microsoft-Probleme.

Das kann man gut am Münchner "LiMux"-Projekt sehen, dessen Weichen von vornherein auf "Scheitern" gelegt waren.

Die Amis nennen es glaube ich "Dunning-Kruger - Symptom", wenn Menschen die Kompetenz fehlt, die eigene Inkompetenz zu erkennen. So geht es den juvenilen Linux-Fricklern, die meinen, sie wären die "Guten" (i.e., "Allianz der Anständigen") und vor allen Dingen die technisch besseren Entwickler -- was kann DA schon schiefgehen. So trauen sie sich regelmäßig an Dinge heran, bei denen Microsoft versagt.

Dumm nur: Microsoft hat *verdammt gute* Entwickler.

Und die "Community" ist erst wieder beim Formulieren der Ausreden für ihr Versagen ganz große Klasse.

Frei nach Nina Hagen, und sorry, Herr Vogtsburger,

JETZT ISSES ZEIT, ENDLICH 'MAL AUFZUMOTZEN:

"Druckertreiber" - Schon der Begriff, das riecht nach Klo und Kappes.

Der Franzmann hat ja ein Gesetz, nach dem im offiziellen Sprachgebrauch keine Anglizismen benutzt werden dürfen. Und da heißt der "device driver" dann eben "Pilot" und das trifft es:

Ein "device driver" steuert das Gerät direkt und sitzt im "Dreiländereck" zwischen Gerät, Betriebssystemkern und Anwendungssoftware.

Das trifft auf die "Druckertreiber" ja überhaupt nicht zu, denn die haben bei einem ordentlich konfigurierten System ja überhaupt keinen Zugang zum Gerät. Wie soll er es dann steuern?

Also: Es gibt eigentlich keine Druckertreiber.

Daher: sind sie überflüssig wie ein Kropf und machen nix als Ärger.

Stattdessen ist der "Druckertreiber" in Wahrheit eine Formatierungshilfe, der den WIndows-Metacode in eine Druckersprache umwandelt.

Da haben wir momentan zur Auswahl:

- PCL (GL/2 inkludiert)

- PostScript

- und sonstigen sehr entbehrlichen Ramsch.

KLAR, ich muß dem Formatierer noch beibiegen, "Drucke doppelseitig", "Nimm Briefpapier", "Drucke einen Formularkopf mit", "Hefte den Job", "Diesen Job bitte auf A3".

Dafür haben die Hersteller so einen "Job Header" vorgesehen, bei HP heißt er "PJL", kann für sowohl PCL als auch PostScript verwendet werden und ist de-facto-Standard.

Was heißt das? Wenn "Windows" einfach nur eine generische PostScript- und PCL-Schnittstelle zur Verfügung stellen würde, dann wäre das "Formatierungsproblem" ein- für allemal erschlagen und wir müßten nicht in 14täglichem Turnus die "Druckersoftware" aktualisieren, die fett und aufgedunsen ab 250 MB Größe per Installer auf die Platte erbrochen wird.

Wer's nicht glaubt:

Wir entwickeln nunmehr seit den späten 80ern Anwendungssoftware für IBMs AIX und für IBM Großsysteme. Teilweise mit sehr anspruchsvoller Graphik (technische Zeichnungen nach DIN). Wir haben niemals auch nur einen einzigen "Treiber" benötigt, sondern immer nur die Standardschnittstellen des Betriebssystems verwendet.

Ein einfacher Spooler, also ein schmuckloser BSD LPR, wie es ihn seit 50 Jahren gibt (früher wurde er vor allem für die Lochkartenstanzer gebraucht), besteht aus drei Prozessen, dem Listener, der (mit Systemrechten) auf eigehende Verbindungen lauscht, dem Enqueueer, der (ebenfalls mit Systemrechten) den Job in einer Warteschlange parkt und schließlich den Dequeueer (ohne irgendwelche Privilegien), der sich den Job schnappt und über ein Formatierungs-Backend auf den Drucker schiebt.

Das ist so einfach, wie es sich anhört.

Und weil nicht alles "an einem Stück hängt", kann man bei jedem ordentlichen System den Listener abschalten, dann kann der Rechner aber immer noch lokal drucken.

Es gibt nur eine Lösung für das "Druckerproblem":

Zurück zur einfachen Lösung aus den 80ern. Wie meinte der unvergeßliche Dr. Dr. Johannes Dyba ? "Wenn man am Abgrund steht, ist jeder Schritt zurück ein Schritt in die richtige Richtung".

https://www.golem.de/news/it-sicherheit-etwa-80-000-drucker-sind-im-internet-offen-ansteuerbar-2006-149276.html

Auch wenn das hier beschriebene, völlig überflüssige "Internet Printing Protocol" hier erwähnt wird (als ob das einfache LPR nicht auch das Internetprotokoll verwenden würde):

Kein Admin, der seinen Namen verdient, macht Drucker, die ja häufig nix anderes sind als ungeschützte, unter Druck zusammengekloppte Linux-PCs, im Netzwerk für jedermann verfügbar.

CUPS = Common Unix Printer System

Das ist der Wunschtraum der Linux-Fanboys, das Pendant zum Ponyhof eines pubertierenden Girlies. Wobei der Ponyhof nicht so häßliche Nebenwirkungen hat.

Von der "Klimakrise" wissen wir nicht definitiv, ob sie "menschengemacht" ist.

Aber für die "Druckerkrise" sind wir ganz alleine verantwortlich.

Hier ist DATEV gefragt, ein eigenes DATEV-Drucksystem nach den oben skizzierten Richtlinien aus den frühen 80ern wäre einfach zu implementieren und würde viele Probleme lösen.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

renek — Thu, 22 Jul 2021 05:14:32 GMT

@andreashofmeister schrieb:
@renek schrieb:
Ich will nimmer 😭
Also doch Linux?

Nö, da gibt es momentan Root-Kernel-Lücken in vielen Distributionen!

https://www.heise.de/news/Root-Kernel-Luecke-bedroht-viele-Linux-Distributionen-6144023.html

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

chrisocki — Thu, 22 Jul 2021 06:30:49 GMT

Moin,

@Koppelfeld schrieb: ...ganz viel Technik, die den "gemeinen" StB nicht interessiert...

Das trifft auf die "Druckertreiber" ja überhaupt nicht zu, denn die haben bei einem ordentlich konfigurierten System ja überhaupt keinen Zugang zum Gerät. Wie soll er es dann steuern?

Wieso hat der "Treiber" keinen Zugriff auf das Gerät? Hat er doch. Und wenn ich mir die Dinger von Minolta, HP, etc. ansehe, reden die auch mit dem Zielgerät. Abfrage Schächte, Duplex, Papierformate, etc. Dabei ist es egal ob er über USB oder IP mit dem Dingen spricht.

KLAR, ich muß dem Formatierer noch beibiegen, "Drucke doppelseitig", "Nimm Briefpapier", "Drucke einen Formularkopf mit", "Hefte den Job", "Diesen Job bitte auf A3".

Und schon sind wir bei den individuellen Feinheiten. Dann gibt es noch die Großformatdrucker, Plotter u.s.w. die PCL schon einmal zum k... finden.

Ach so, Farbgenauigkeit ist dann noch von Sprache zu Sprache unterschiedlich. Da müssen die Treiber entsprechend eingemessen werden, wenn Grafiker auch das herausbekommen wollen, was Sie so schön gemalt haben. Das ist dann sogar Gerätespezifisch....

Hier ist DATEV gefragt, ein eigenes DATEV-Drucksystem nach den oben skizzierten Richtlinien aus den frühen 80ern wäre einfach zu implementieren und würde viele Probleme lösen.

BITTE NICHT! DATEV hat sowas schon einmal unter DOS gemacht. Zum Schluss funktionierte es auch. Aber wehe es hat hier jemand rumgefummelt. OK, komplizierter wurde eigentlich nur, weil Novell, DOS und Windows im Spiel waren...

Vielleicht sollten wir in Teilen einfach mal das hinnehmen, was wir (als Gesellschaft) seit Jahren "freiwillig" genutzt haben. Das fing mit Windows an und begleitet uns seit Jahrzehnten. Die alternativen OS wurden aus div. Gründen nie oder nur wenig vom Markt angenommen.

Und kleiner ist keine OS-Plattform geworden. Das kommen überall Millionen Codezeilen hinzu. Und da schlummern bei allen OS entsprechend Angriffsvektoren.

Und DATEV soll hier auch noch mitmischen. Nein Danke! Die Kolleginnen und Kollegen in Nürnberg sollen die bestehenden Anwendungen in den Griff bekommen bzw. weiterentwickeln. Da wartet genug Arbeit.

Fazit für mich: In den kleineren Netzen habe ich die Druckspooler auf den Windows-Servern deaktiviert. Entweder drucken die Clientrechner/TS direkt oder eben gar nicht. Die grösseren Kanzleien sind in DATEVasp und somit für mich ein "PaL" --> Problem anderer Leute

Beste Grüße
Christian Ockenfels

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

agmü — Thu, 22 Jul 2021 06:45:56 GMT

für alle Linux-Fans:😏

https://www.heise.de/news/Root-Kernel-Luecke-bedroht-viele-Linux-Distributionen-6144023.html

Es scheint fast egal zu sein, welches System im Untergrund läuft. Alle Systeme sind mehr oder weniger "sicher".

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

Koppelfeld — Fri, 23 Jul 2021 20:29:39 GMT

@chrisocki schrieb:
Moin,

@Koppelfeld schrieb: ...ganz viel Technik, die den "gemeinen" StB nicht interessiert...

Das trifft auf die "Druckertreiber" ja überhaupt nicht zu, denn die haben bei einem ordentlich konfigurierten System ja überhaupt keinen Zugang zum Gerät. Wie soll er es dann steuern?
Wieso hat der "Treiber" keinen Zugriff auf das Gerät? Hat er doch. Und wenn ich mir die Dinger von Minolta, HP, etc. ansehe, reden die auch mit dem Zielgerät. Abfrage Schächte, Duplex, Papierformate, etc. Dabei ist es egal ob er über USB oder IP mit dem Dingen spricht.

Vorsichtig konfigurierte Syteme haben keinen direkten Zugriff auf den Drucker. Entsprechend ist auch kein Feedback möglich. Im Windows-Drucksystem gibt es die Checkbox, "Bidirektionale Druckerunterstützung aktivieren". Der 'Status Readback" über IP in birgt bei Verwendung des 'Nagle Algorithm' ganz fiese Fallen -- typischerweise flusht der Drucker die Statussequenz nur halb und die Gegenstelle hängt bis zum St. Nimmerleinstag im 'wait'.

KLAR, ich muß dem Formatierer noch beibiegen, "Drucke doppelseitig", "Nimm Briefpapier", "Drucke einen Formularkopf mit", "Hefte den Job", "Diesen Job bitte auf A3".
Und schon sind wir bei den individuellen Feinheiten. Dann gibt es noch die Großformatdrucker, Plotter u.s.w. die PCL schon einmal zum k... finden.
Ach so, Farbgenauigkeit ist dann noch von Sprache zu Sprache unterschiedlich. Da müssen die Treiber entsprechend eingemessen werden, wenn Grafiker auch das herausbekommen wollen, was Sie so schön gemalt haben. Das ist dann sogar Gerätespezifisch....

Anständige Techniker "malen" in Schwarzweiß, und Drucker kann man kalibrieren.

Vielleicht sollten wir in Teilen einfach mal das hinnehmen, was wir (als Gesellschaft) seit Jahren "freiwillig" genutzt haben. Das fing mit Windows an und begleitet uns seit Jahrzehnten. Die alternativen OS wurden aus div. Gründen nie oder nur wenig vom Markt angenommen.

Passende Heise-Meldung:

https://www.heise.de/news/HP-Samsung-Xerox-Luecke-in-Windows-Druckertreibern-gefixt-nach-16-Jahren-6145114.html

Und täglich grüßt das Murmeltier.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Tue, 10 Aug 2021 19:04:34 GMT

Update ⬆️: Neuer PrintNightmare-Patch: Microsoft empfiehlt sofortige Installation

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Thu, 12 Aug 2021 17:33:54 GMT

Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server Corona kam laut Medien aus China 🙈. Also eine Frage der Zeit, bis die Hacker auch unsere Gebiete erreichen 😶.

Windows PrintNightmare, neue Runde mit CVE-2021-36958

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

einmalnoch — Fri, 13 Aug 2021 06:24:09 GMT

Eine Bedienungsanleitung zum Angriff ging ja gerade Online:

https://www.heise.de/hintergrund/Das-Conti-Leak-Bedienungsanleitung-fuer-Ransomware-6160551.html

Die Hinweise auf die Besonderheiten der deutschen Sprachversion von Win Server lassen tief blicken.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Sat, 14 Aug 2021 09:04:44 GMT

➡️ Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle für Angriffe

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

clblank — Tue, 17 Aug 2021 11:35:27 GMT

Ich habe am Wochenende das 15.0 update installiert und konnte am Montag keine Rechnungen mehr schreiben. Das Datev-Hilfecenter spuckte die Empfehlung aus, den skypdf-Treiber zu deinstallieren und abschließend neu zu installieren. Leider hat das Installieren nicht funktioniert.

Grund war, dass ich mit dem PowerShell-Skript der Firma Truesec Veränderungen im Verzeichnis C:\Windows\System32\spool\drivers verboten habe. Dies habe ich nun wieder aufgehoben, und damit ließ sich auch der Treiber wieder installieren.

Jetzt handeln: Angreifer nutzen PrintNightmare Lücke in Windows aktiv aus

metalposaunist — Sat, 13 Nov 2021 16:59:33 GMT

Wenn das kein weiterer Ansporn ist, auf Drucker und drucken zu verzichten: Windows PrintNightmare-Druckprobleme: Server verliert Einstellungen, Fehler beim Drucken

Mich würde ja mal interessieren 🤔, ob das Auswirkung auf den DATEV Geschäftspostdruck hat. Wenn ja, ist das auch nicht das blaue vom Himmel.