21. Oktober 2021

Printer Mapping mit deviceTRUST und Microsoft’s Patch für CVE-2021-34527 – aka “Printer Nightmare”

Microsoft hat kürzlich mehrere Sicherheitslücken im Drucker-Spooler-Dienst und damit verbundenen Funktionen gepatcht. Die Sicherheitslücken sind allgemein als „Printer Nightmare“ bekannt. Sie erlauben das Ausführen von externem Code („Remote Code Execution“) auf Basis der Drucker-Treiber-Installations-Schnittstelle.

Alle Informationen zur Sicherheitslücke und den Patches finden Sie

Aktuell verhindert der Fix das automatische Installieren von Drucker-Treibern im Benutzer-Kontext. Diese Funktion wird jedoch sehr oft verwendet. Gerade in nicht-persistenten, virtuellen Umgebungen binden Benutzer ihre benötigten Drucker bei Bedarf ein und laden die Treiber – wenn nötig – automatisch nach. Die Fixe für CVE-2021-34527 beschränken die Treiber-Installation auf Administratoren.

Printer Mapping mit deviceTRUST

Mit deviceTRUST lassen sich Drucker basierend auf dem Kontext verbinden. So lässt sich z.b. sehr einfach ein Follow-Me-Printing umsetzen, bei dem Drucker auf Basis des Standortes des Benutzers in den digitalen Arbeitsplatz verbunden werden. Auf diese Weise erhalten Benutzer immer die Drucker in ihrer Umgebung, die für ihre Arbeit optimal sind.

deviceTRUST stellt die Drucker im Benutzer-Kontext bereit. Diese Funktion wird von den Fixes für “Printer Nightmare” immer dann unterbunden, wenn ein Treiber fehlt und automatisch installiert werden muss.

Workaround

Viele unserer Kundenumgebungen nutzen das Verbinden von Druckern durch Benutzer, um die Umgebung flexibel zu halten. Mit den Fixes für CVE-2021-34527 kann diese Funktion nicht mehr verwendet werden. Über spezielle Registry-Schlüssel können die Fixes deaktiviert werden. Dies, allerdings, öffnet die Lücke wieder für Angreifer.

deviceTRUST kann dabei helfen, das Problem so klein wie möglich zu machen. In einer deviceTRUST Task-Sequenz können mehrere Aktionen miteinander verbunden werden. So kann z.B. ein Task zum Setzen eines Registry-Schlüssels („Erlaube Treiber-Installation durch User“) mit dem Verbinden von Druckern für den Benutzer und einem erneuten Setzen des Registry-Schlüssels („Verbiete Treiber-Installation durch User“) verkettet werden.

Dadurch lässt sich der Fix generell aktiv halten. Nur in dem kurzen Moment, indem ein Drucker durch deviceTRUST verbunden wird, wird die Treiberinstallation kurz erlaubt, danach sofort wieder verboten. Dadurch erreichen wir mit deviceTRUST eine optimale Verbindung von Sicherheit und Benutzer-Erfahrung.

Eine Konfiguration in deviceTRUST könnte wie folgt aussehen:

Task-Sequenz

Registry Task 1: Setzt “RestrictDriverInstallationToAdministrators” auf “0” und erlaubt somit Nutzern, im PointAndPrint-Verfahren Treiber zu installieren.

Map Printer – ExamplePrinter: Verbindet einen Beispiel-Drucker.

Registry Task 2: Setzt “RestrictDriverInstallationToAdministrators” auf “1” und verbietet somit Nutzern, im PointAndPrint-Verfahren Treiber zu installieren.

Sie finden diese Konfiguration in unserem GitHub-Repository: Configurations/dT_C_U_Printermapping_CVE-2021-34527.dtpol at main · deviceTRUST/Configurations (github.com)

Zusammenfassung

Aktuell sind die Fixe für CVE-2021-34527 eher als Workaround zu sehen. Die Schwachstelle ist noch vorhanden, wird aber durch das Verbieten der Installation von Treibern durch Nutzer schwerer zugänglich gemacht. Dies allerdings macht viele, digitale Arbeitsplatz-Umgebungen weniger flexibel und produktiv.

Mit deviceTRUST Conditional Configuration können Sie Ihre Flexibilität erhalten und dabei eine sichere Druckerverbindung ermöglichen.

 

von Sven Jansen – Pre-Sales Manager DACH