New world Order
Golem.de: IT-News für ProfisLink: www.golem.de In einem aktuellen Security Bulletin von Western Digital heißt es: "Western Digital hat festgestellt, dass einige My-Book-Live- und My-Book-Live-Duo-Geräte durch Ausnutzung einer Sicherheitslücke zur Ausführung von Remote-Befehlen kompromittiert wurden. In einigen Fällen hat diese Kompromittierung zu einem Werksreset geführt, der scheinbar alle Daten auf dem Gerät löscht." aua, gsd wir haben nur 2 stück von denen mal verkauft.
differential image maker
Danke, jemand aus der Bekanntschaft wurde gewarnt und gebeten das Gerät bis auf weiteres vom Internet zu trennen.
takeover & ether
Hat hier schon jemand Details rausgelesen? Ich hoffe das Problem tritt nur ein wenn man Service Ports aus dem Internet erreichbar gemacht hat oder ist ihnen zb. eine Domäne abhanden gekommen?
Das Problem ist iirc eine pre-auth RCE ueber einen Bug in einem CGI-Programm in der Firmware. Ich schaetze mal, dass sich das My Book mittels UPnP darum kuemmern kann, dass es via Internet direkt am Webserver-Port erreichbar ist, was dann bei so einer Luecke zum Jackpot fuehrt. Aber das ist nur Sepkulation, recherchiert habe ich es nicht.
takeover & ether
UPNP wär eine Erklärung, ja.
Here to stay
The vulnerability is remarkable because it made it trivial to wipe what is likely petabytes of user data. More notable still was that, according to the vulnerable code itself, a Western Digital developer actively removed code that required a valid user password before allowing factory resets to proceed. https://arstechnica.com/gadgets/202...k-live-devices/Jabistudeppert.
takeover & ether
Ja, Vorbereitung auf stuxnet2. Microsoft schweigt. Schwierige situation. Deaktivieren wo möglich
ElderEr ist tot, Jim!
Danke für - mal wieder was mit gewaltig Reichweite. Das da MS schweigt ist schon a Frechheit für sich
Si vis pacem, para bellum
Falls jemand ein PS Script zum checken und fixen aller Memberserver im AD ohne händisch eine Liste zu erstellen benötigt: Ich habe das Original Script von hierDer Author des original Scripts ist: Grzegorz TworekEs wurde von mir nur um eine Zeile geändert um alle aktiven Server im AD zu fixen ohne händisch oder via externen File sich abzumühen.
# get all active server names from AD
$computers = Get-ADComputer -Filter 'Operatingsystem -like "*server*" -and enabled -eq "true"' -Properties Name | Select -ExpandProperty Name
foreach ($computer in $computers)
Write-Host "Processing $computer ..."
$service = Get-Service -ComputerName $computer -Name Spooler -ErrorAction SilentlyContinue
if (!$service)
Write-Host "Cannot connect to Spooler Service on $computer. Skipping." -ForegroundColor Yellow
if ($service.Status -ne "Running")
Write-Host ("Service status is: """ + $service.Status + """. Skipping.") -ForegroundColor Yellow
$printers = (Get-WmiObject -class Win32_printer -ComputerName $computer)
if (!$printers)
Write-Host "Cannot enumerate printers. Skipping." -ForegroundColor Yellow
$disableSpooler = $true
foreach ($DriverName in ($printers.DriverName))
if (($DriverName -notmatch 'Microsoft XPS Document Writer') -and ($DriverName -notmatch 'Microsoft Print To PDF'))
Write-Host " Printer found: $DriverName" -ForegroundColor Green
$disableSpooler = $false
if ($disableSpooler)
Write-Host "Only default printers found. Stopping and disabling spooler..." -ForegroundColor DarkCyan
(Get-Service -ComputerName $computer -Name Spooler) | Stop-Service -Verbose
Set-Service -ComputerName $computer -Name Spooler -StartupType Disabled -Verbose
Write-Host "Non-default printers found. Skipping." -ForegroundColor Green
takeover & ether
Danke für - mal wieder was mit gewaltig Reichweite. Das da MS schweigt ist schon a Frechheit für sich Das Problem ist sie dachten dass sie’s gefixt haben mit Juni Patchday. Ev. gibt es schon eine Meldung. Heute Nachmittag jedenfalls nicht. Videos sind ca. 23h im Netz.
leider kein name
@dao: danke noch für die info ich habs etwas angepasst damit es ansonsten auch zur auflistung genutzt werden kann und schneller durchläuft (durch schwenk auf Get-Printer statt der wmi methode) # get all active server names from AD
$computers = Get-ADComputer -Filter 'Operatingsystem -like "*server*" -and enabled -eq "true"' -Properties Name | Select -ExpandProperty Name
foreach ($computer in $computers)
Write-Host "Processing $computer ..."
$service = Get-Service -ComputerName $computer -Name Spooler -ErrorAction SilentlyContinue
if (!$service)
Write-Host "$($Computer): Cannot connect to Spooler Service on $computer. Skipping." -ForegroundColor Yellow
if ($service.Status -ne "Running")
Write-Host ("$($Computer): Service status is: """ + $service.Status + """. Skipping.") -ForegroundColor Yellow
$printers = (Get-Printer -ComputerName $computer)
if (!$printers)
Write-Host "$($Computer): Cannot enumerate printers. Skipping." -ForegroundColor Yellow
$disableSpooler = $true
foreach ($DriverName in ($printers.DriverName))
if (($DriverName -notmatch 'Microsoft XPS Document Writer') -and ($DriverName -notmatch 'Microsoft Print To PDF') -and ($DriverName -notmatch 'Microsoft OneNote*'))
Write-Host "$($Computer): Printer found: $DriverName" -ForegroundColor Green
$disableSpooler = $false
if ($disableSpooler)
Write-Host "$($Computer): Only default printers found. Stopping and disabling spooler..." -ForegroundColor DarkCyan
(Get-Service -ComputerName $computer -Name Spooler) | Stop-Service -Verbose -WhatIf
Set-Service -ComputerName $computer -Name Spooler -StartupType Disabled -Verbose -WhatIf
Write-Host "$($Computer): Non-default printers found. Skipping." -ForegroundColor Green
Achtung: Ich hab hier noch mit Absicht jeweils ein -WhatIf drinnen. Sollte jemand Facts bauen wollen um einen Überblick per Puppet und Co zu schaffen sollte das gut funktionieren Get-Printer | Where { ($_.DriverName -notmatch 'Microsoft XPS*') -and ($_.DriverName -notmatch 'Microsoft Print*') -and ($_.DriverName -notmatch 'Microsoft OneNote*') } | select DriverName -Unique
leider kein name
differential image maker
Danke für's Teilen des workarounds! Werden wir bis zum Patch auf jenen Servern, die drucken müssen, wohl so machen.
Si vis pacem, para bellum
Ich habe das Script um die Acl Änderung erweitert falls es jemand hilft. Ein Log wird jetzt auch geschrieben und kann automatisch via Mail übermittelt werden (sofern ein Relay existiert). # Mailconfig
$From = "john.doe@cocklovers.at"
$To = "sam@ireadyouremails.at"
$Attachment = "c:\temp\fix_printernightmare.log"
$Subject = "Report for PrinterNightmare CVE-2021-1675 temp fix"
$Body = "<h2>See attached Logfile!</h2><br><br>"
$Body += "please store/save the attached logfile!"
$SMTPServer = "your.mamasmailserver.at"
$SMTPPort = "25"
# Enable Mailreport
$SendMailreport = $true
# remove old log
if (Test-Path c:\temp\fix_printernightmare.log) { Remove-Item c:\temp\fix_printernightmare.log }
#start logging
Start-Transcript -Path "c:\temp\fix_printernightmare.log"
Write-Host "start logging"
$start_time = Get-Date
$computers = Get-ADComputer -Filter 'Operatingsystem -like "*server*" -and enabled -eq "true"' -Properties Name | Select -ExpandProperty Name
foreach ($computer in $computers)
Write-Host "Processing $computer ..."
$service = Get-Service -ComputerName $computer -Name Spooler -ErrorAction SilentlyContinue
if (!$service)
Write-Host "Cannot connect to Spooler Service on $computer. Skipping." -ForegroundColor Yellow
if ($service.Status -ne "Running")
Write-Host ("Service status is: """ + $service.Status + """. Skipping.") -ForegroundColor Yellow
$printers = (Get-WmiObject -class Win32_printer -ComputerName $computer)
if (!$printers)
Write-Host "Cannot enumerate printers. Skipping." -ForegroundColor Yellow
$disableSpooler = $true
foreach ($DriverName in ($printers.DriverName))
if (($DriverName -notmatch 'Microsoft XPS Document Writer') -and ($DriverName -notmatch 'Microsoft Print To PDF') -and ($DriverName -notmatch 'Microsoft OneNote*'))
Write-Host " Printer found: $DriverName" -ForegroundColor Green
$disableSpooler = $false
if ($disableSpooler)
Write-Host "Only default printers found. Stopping and disabling spooler..." -ForegroundColor DarkCyan
(Get-Service -ComputerName $computer -Name Spooler) | Stop-Service -Verbose -WhatIf
Set-Service -ComputerName $computer -Name Spooler -StartupType Disabled -Verbose -WhatIf
Write-Host "Non-default printers found. Skipping." -ForegroundColor Green
#src: [url]https://blog.truesec.com/2021/06/30/fix-for-printnightmare-cve-2021-1675-exploit-to-keep-your-print-servers-running-while-a-patch-is-not-available/[/url]
Write-Host "Fixing spooler directory permissions " -ForegroundColor Yellow
#set directory permissions
$Path = "C:\Windows\System32\spool\drivers"
$Acl = Get-Acl $Path
$Ar = New-Object System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny")
Set-Acl $Path $Acl
if ($SendMailreport -eq $true){ Send-MailMessage -From $From -to $To -Subject $Subject -Body $Body -BodyAsHtml -SmtpServer $SMTPServer -Port $SMTPPort -Attachments $Attachment}
leider kein name