Vorgestern hat Microsoft zum August-Patchday die üblichen Updates verteilt, seit gestern werden die Patches ausgeliefert. Erneut ist ein weiteres Update gegen die als PrintNightmare bekannt gewordene Sicherheitslücke in allen Windows-Versionen dabei.
PrintNightmare – und kein Ende in Sicht
Das Vorgehen hat allerdings eher etwas von einer Kapitulation als von einer echten Lösung des Problems, denn damit schiebt der Windows-Hersteller die Verantwortung für den Umgang mit dem Problem an seine Kunden ab:
Nachdem Microsoft schon im letzten Monat ein Sicherheitsupdate gegen die Schwachstelle im Druckerspooler veröffentlicht hatte, die im schlimmsten Fall die Übernahme eines Systems ermöglichen kann, kam umgehend Kritik von Sicherheitsexperten, denn auch nach diesem Update blieben die Systeme weiterhin angreifbar, wenn auch nicht im gleichen Maße.
Microsofts Lösungen belasten die Kunden
Das gerade mit den April-Patches gekommene Update bringt auch nur eine Änderung bei der Treiberinstallation: Zur Installation von Druckertreibern, die über Point and Print bereitgestellt werden, sind in Zukunft Administratorrechte nötig.
Auf diesem Weg werden in vielen, besonders größeren Firmen, Druckertreiber bereitgestellt, um damit die Installation von Druckern zu vereinfachen. Und genau dieser Komfort entfällt jetzt durch die jetzt vorgenommene Änderung, denn in Unternehmen sind die meisten Benutzer ja eher keine Admins. Und die werden sich nach dem Update jetzt an ihren IT-Support wenden müssen, wenn sie einen Drucker in Betrieb nehmen möchten.
Das bringt natürlich deutlichen Mehraufwand und dürfte auch vorhersehbar zu Beschwerden führen, weshalb Microsoft auch direkt einen Workaround eingebaut hat: In einem Supportartikel erläutert der Hersteller, wie man den Registry-Wert „RestrictDriverInstallationToAdministrators“ verändern kann, damit weiterhin keine Adminrechte zum installieren eines Druckers nötig sind.
Macht man das, dann bleibt man aber weiterhin den Restrisiken der PrintNightmare-Lücke ausgesetzt. Ergänzend beschreibt der Artikel auch noch weitere Sicherheitstipps: Administratoren können beispielsweise einschränken, zu welchen Druckerservern eine Verbindung hergestellt werden darf. Aber auch hier wird darauf verwiesen, dass auch in diesem Fall ein Restrisiko verbleibt.
Windows braucht ein neues Drucksystem
Insgesamt betrachtet scheint die PrintNightmare-Schwachstelle also nicht nur ein banaler Programmfehler zu sein, sondern eher dem Design geschuldet und können nicht vollständig beseitigt werden, ohne das Drucksystem von Windows generell umzubauen.
Darüber hinaus gab es zum August-Patchday die üblichen Patches wie neue kumulative Updates für Windows 10. Hier finden Sie die Changelogs dazu: