Microsoft’s Active Directory Service Team hat eine Nachwirkung zum „Print Nightmare“ Security Patch vom 6 July 2021 veröffentlich. Folgende Symptome können auftreten: Langsame Druckaufträge, langsame Aktualisierung der Druckwarteschlange, fehlgeschlagene Druckertreiber-Updates, Langsame DCs, langsame Anmeldungen, Replikationsprobleme, Übermäßiger Kerberos- und NTLM-Datenverkehr.
Die Geschichte beginnt als Fix für eine Möglichkeit „malicious“ Treiber ohne Administratorrechte einzuspielen. Dieses Risiko ist als CVE-2021-34527 dokumentiert. Der Artikel zu dem Patch findet sich hier.
Der Fix ist ein einzelner Registry Key und relativ trivial. Wer dies prüfen will liest den Microsoft Artikel und nutzt dann für seinen Fehlersuche Netmon oder Wireshark um diese Ursache nachzuweisen.
Ursache für langsame Druckaufträge oder Domain Controller
Das Problem tritt auf, wenn der Spooler-Dienst mit der Funktion InitilizeSecurityContext einen falschen Service Principal Name (SPN) an einen Domänencontroller (DC) sendet. Diese fehlerhaften Kerberos-Ticket-Anfragen können nicht bearbeitet werden, deshalb greift der der Client auf NTLM zurück. Der vom Spooler gesendete falsche SPN lautet „krbtgt/NT Authority“.
Der Client-Spooler wird sich häufig mit dem Druckserver in Verbindung setzen, um die Warteschlange zu überprüfen, die Verbindung zu prüfen, nach aktualisierten Druckertreibern zu suchen und natürlich um Druckaufträge zu senden. Jede dieser Verbindungen erfordert ein gewisses Maß an Authentifizierung. Dieser zusätzliche Authentifizierungsverkehr führt zu Leistungsproblemen und zum Unverständnis der Sicherheitsteams, die sich fragen, warum ihre Protokolle mit Kerberos- und NTLM-Datenverkehr überflutet werden.
Symptome
Die Symptome lassen sich in der Regel in diese drei Bereiche einteilen:
- Langsame Drucker, langsame Aktualisierung der Druckwarteschlange, fehlgeschlagene Druckertreiberaktualisierungen
- Langsame DCs, langsame Anmeldungen, Replikationsprobleme
- Übermäßiger Kerberos- und NTLM-Datenverkehr
Details beschriebt Microsoft hier leider nur in Englisch. Wer dort Hilfe braucht, schreibt gerne erst in den Kommentare oder meldet sich direkt über z.B. Linkedin bei mir.
Weiterführende Links
- Managing deployment of Printer RPC binding changes for CVE-2021-1678 (KB4599464)
- Introducing: Log Parser Studio
- Enabling debug logging for the Netlogon service
- InitializeSecurityContext (Kerberos) function
- Group Policy Preferences
Wer Wireshark nutzen möchte, dies aber nicht von Hand machen will, sollte Winget verwenden.