Link alla notizia: https://www.hwupgrade.it/news/sistemi-operativi/windows-10-e-crash-con-la-stampa-microsoft-rilascia-un-fix-temporaneo_96235.html

Microsoft è tornata a parlare del problema con i crash di sistema in seguito ai tentativi di stampa su Windows 10, dopo aver applicato le patch di marzo. Ecco una procedura ufficiale per risolvere temporaneamente il problema

Click sul link per visualizzare la notizia.

Non c'entra nulla, ma rundll32 cosa fa?
E' un exe che lancia la funzione PrintUIEntry dentro la dll printui.dll?

Stampare è uno scenario altamente specifico e inusuale. Ci può stare che sfugga ad accuratissimi controlli di una divisione RS, anche in una azienda grande come MS.

Ok la pezza, ma fammi uno script che automaticamente mi sistema TUTTE le stampanti. Ho stampanti ricoh in tutta italia in dominio, in alcune sedi ne ho una decina, gli utonti (tanti) non lanceranno mai lo scripit con il nome della stampante...
Faccio prima a mandare loro lo script per disinstallare la patch

https://docs.microsoft.com/it-it/windows-server/administration/windows-commands/rundll32-printui
-
per il CMD
wmic qfe list
elenca gli aggiornamenti installati
e
wusa /uninstall /kb:<kbnumber>
dovrebbe rimuoverli

Windows 2020 o 20h2
wusa /uninstall /kb:5000802

Windows 1909
wusa /uninstall /kb:5000808

sto rimuovendo la patch da tutti i clienti che lamentano il problema con le le stampanti Kyocera KX e metto in pasusa per 15 gg gli aggiornamenti.

Io dai miei ho risolto installando i driver Kyocera V4 e lasciando la patch installata. Se sorgono complicazioni vi avviso :)

In teoria potrebbe bastare rimuovere la stampante e riaggiungerla tramite Windows.

In azienda abbiamo stampanti Utax (kyocera travestite), Kyocera e Zebra, su tutte e tre stesso problema.

Risolto togliendo i driver e rimessi ma in PCL6, altrimenti come suggerito rimuovendo gli aggiornamenti e bloccare gli aggiornamenti per un tot di tempo.

Però sticazzi, se ci fossero stati problemi con le stampanti sconosciute e cinesi, ci poteva stare, ma stiamo parlando di macchine da lavoro ampiamente vendute.

Però sticazzi [...]

non cancella certo il disservizio che ha arrecato (anche se a regola il codice è fornito 'AS IS') però è per questo che personalmente almeno ritengo sia quanto mai opportuna maggior trasparenza (la 'gente' infatti vorrebbe capire e non limitarsi alle due righe di comunicato che non spiegano evidentemente una beneamata mazza)..

Torno a ripetere: posso anche accettare il bug (per me il disservizio è stato minimo in quanto gli aggiornamenti li installo tramite wsus con almeno un mese di ritardo), ma nel caso, mi fai un eseguibile da far girare (che posso distribuire con le group policy) che mi sistema le stampanti.

in effetti mi aspettavo un fix più celere visto il problema abbastanza serio.

Torno a ripetere [...]
beh, te (nel senso di scenario che sembra di capire tu sia chiamato a gestire) sarai accontentato dato che *sicuramente* troverai per quella data un nuovo fix (che poi installerai anch'esso dopo 30 giorni per cui insomma, tra massimo 60 lo potrai applicare con una certa serenità :asd: -nel frattempo magari vi hanno stuprato la rete ma questo è un altro discorso :D -)

nel frattempo magari vi hanno stuprato la rete ma questo è un altro discorso

Eh mica tanto... Ci si assume un bel rischio a ritardare gli aggiornamenti di 60 giorni (poi per carità, dipende anche sempre da cosa si sta gestendo).

Ma tutti voi che state correndo ai ripari disinstallando le patches incriminate, cosa fate di solito? Le installate non appena Microsoft le rilascia? Perchè se è così IMHO state a fa na cazzata...

Io non mi sogno manco per sbaglio di installare una patch subito dopo la pubblicazione di Microsoft: aspetto sempre una settimana, POI distribuisco ad un Gruppo di Controllo, e SOLO DOPO aver verificato sul gruppo di controllo che tutto ok e che in internet non ci siano mega-richiami che procedo all' effettiva distribuzione su tutte le macchine, magari procedendo in Waves: wave 1, 2, 3 e via dicendo, così che non patchi tutto e subito.

Naturalmente mi riferisco ad ambienti di dominio correttamente configurati e senza computer standalone qui e la. Magari verificando che le call RPC sul Domain Controller funzionino a dovere xD

Anche perchè per esperienza personale, già dopo 24/48h, se si consultano i siti giusti già si sa se si sono verificati problemi di qualche tipo da qualche parte nel mondo (Hardware Upgrade li riporta mediamente con almeno 48 ore di ritardo, ad esempio). Io ho 6000 Client e centinaia di server, mica bruscolini

beh, te (nel senso di scenario che sembra di capire tu sia chiamato a gestire) sarai accontentato dato che *sicuramente* troverai per quella data un nuovo fix (che poi installerai anch'esso dopo 30 giorni per cui insomma, tra massimo 60 lo potrai applicare con una certa serenità :asd: -nel frattempo magari vi hanno stuprato la rete ma questo è un altro discorso :D -)


Nella pratica non è quasi mai così, per fortuna. In genere il problema lo risolvi nel Security Rollup successivo, un mese più tardi, dove il nuovo aggiornamento "superseeda" (bleah, che brutta parola!) quello vecchio. Non certo 60 giorni. Ma cmq mi è successo di ritardare anche di 60 giorni su specifici bug, vedi lo scorso anno nei mesi tra Gennaio e Marzo, dove Microsoft non ne ingarrava una. Ho sudato freddo in quelle circostanze. Sapere di dover patchare un bug di sicurezza di media gravità, col rischio di mettere KO (BSOD) i computer di centinaia di persone che lavorano da casa (e no, non usiamo InTune :P ), persone che sono in pieno Lockdown o in quarantena, e che non possono permettersi di rimanere senza computer ne sono in grado di andare in ufficio, e che a loro volta supportano persone che creano vaccini che inoculano a te e me... beh... ti lascio immaginare il resto.

Quando in passato si sono verificati hacking di sistemi dovuti a vulnerabilità non patchate, si parlava di patch vecchie di ANNI (WannaCry se non ricordo male), non certo uno o due mesi. Non mi sembra che in tempi recenti quanto meno sia successo.

E comunque resta il fatto che è sbagliato da Best Practices installare una Patch immediatamente, mi incul***i qualsiasi collega o sottoposto che lo facesse. Anzi, me li sono incu***i a dire il vero e rischiava di piacermi.

Eh mica tanto... Ci si assume un bel rischio a ritardare gli aggiornamenti di 60 giorni (poi per carità, dipende anche sempre da cosa si sta gestendo).

Ma dipende anche dalla vulnerabilità: quanto è grave? Come è catalogata da Microsoft o da chi l'ha scoperta? Richiede accesso fisico alla macchina o può essere exploitata da remoto? Se exploitabile da remoto, si può chiudere momentaneamente con un firewall? Magari i colleghi del networking possono darti una mano? Possiamo fare un workaround con una Policy e bloccare il processo incriminato se si tratta di un processo? Se richiede accesso fisico il rischio si abbassa notevolmente... Inoltre, una volta exploitata cosa consente di fare? Ottieni il controllo di una singola macchina o di un Domain Controller ? Cioè voglio di... Le patch si studiano, mica si clicca e si rilascia, quello so buoni tutti a farlo...

Considerazione 1: il discorso decade in caso di bug 0-day gravissimi, li si fa come il chirurgo che riceve il paziente che arriva in codice rosso/viola dopo un incidente e necessita di intervento immediato.
Considerazione 2: Dipende anche un pò dall'ambiente in cui siete, se siete amministratori di sistema di uno studio di avocati con 5-6 postazioni o fino a 20-30 computer e un paio di server... beh... fate come ve pare... Probabilmente non avete neanche un sistema centralizzato per gli aggiornamenti. Io parlo di ambienti grossi e/o geograficamente distribuiti o mission-critical, magari con migliaia e migliaia di utenti/sistemi e con sistemi centralizzati come WSUS, SCCM, Matrix42, Zenworks Configuration Management etc etc...

Ho avuto il problema su due pc finora ed è bastato eliminare e reinstallare la stampante

Ma dipende anche dalla vulnerabilità: quanto è grave?
Domanda sbagliata: "Quanto può impattare sul mio sistema?" Il CVE non vuole dire nulla.

Come è catalogata da Microsoft o da chi l'ha scoperta?
Chissene: devi capire quali danni può fare a te!

Richiede accesso fisico alla macchina o può essere exploitata da remoto?
Anche questa vuol dire poco, a meno che tu abbia controllo al 100% sugli utonti.

Se exploitabile da remoto, si può chiudere momentaneamente con un firewall?
Se non passa dal fw non è un problema, sempre che non possa comunque entrarti dall'interno (anche qui, a meno che filtri anche il traffico interno).


Inoltre, una volta exploitata cosa consente di fare? Ottieni il controllo di una singola macchina o di un Domain Controller?


Anche se fosse? Se entrano sul pc della segretaria so' già mazzi con le normative vigenti

Domanda sbagliata: "Quanto può impattare sul mio sistema?" Il CVE non vuole dire nulla.

Ho scritto CVE io? Mi riferivo alle informazioni fornite dai ricercatori di sicurezza su come verificare la vulnerabilità, step per riprodurla , proof of concept, e così valutare da me la gravità in relazione ai sistemi che utilizzo. Sai com'è, sono un informatico. Se qualcuno mi dice che c'è una vulnerabilità io mi vado a leggere tutto su quella vulnerabilità e cerco di individuare tutte le informazioni utili per potermi consentire una valutazione, nei limiti ovviamente delle mie competenze.

Chissene: devi capire quali danni può fare a te!

Vedi sopra, è ovviamente solo questo il mio scopo.


Anche questa vuol dire poco, a meno che tu abbia controllo al 100% sugli utonti.

Se sei un System Administrator che sa fare il suo lavoro, credimi, il controllo può essere estremamente alto. Ma veramente alto. Sono d'accordo che tu non possa averlo al 100%, per carità di Dio, ma diciamo al 97-99%. Te lo faccio con un mix di policies (centinaia a dire il vero), scripts e un tool di terze parti... Indipendentemente da questo, a parità di gravità, dovrai concordare che una vulnerabilità sfruttabile da remoto è più grave di una sfruttabile solo localmente PER DEFINIZIONE: nell'ultimo caso devi avere accesso fisico alla macchina, nell'altra invece sei automaticamente suscettibile a chiunque abbia un computer e una connessione ad internet. Fa una grossa differenza. E' l'ABC della sicurezza informatica. E devi tenerlo in considerazione.

Anche se fosse? Se entrano sul pc della segretaria so' già mazzi con le normative vigenti


Stai estrapolando una frase senza il suo contesto: ci si riferiva al fare una analisi dei potenziali Vantaggi/Svantaggi e decidere se rilasciare una patch potenzialmente problematica o no. Ovvio che voglio mantenere il pc della segretaria patchato, ma io devo avere una visione olistica del tutto.

Se una patch mi comporta più rischi che benefici, in relazione alla gravità della medesima e alla criticità dell'ambiente che devo proteggere, io aspetto. E mentre aspetto, metto in campo procedure di mitigazione del rischio.

Se non passa dal fw non è un problema, sempre che non possa comunque entrarti dall'interno (anche qui, a meno che filtri anche il traffico interno).

Non l'ho capita questa. Se puoi bloccare un ransomware (che potrebbe accedere dall'esterno) con un firewall perimetrale, non lo useresti in un contesto di mitigazione del rischio? Stessa cosa dicasi per il firewall di Windows. La diffusione di Wannacry in alcune aziende alcuni anni fa venne proprio bloccata facendo intervenire i firewall interni (tra le reti).


Mi soffermo su un ultimo aspetto, premettendo che si parlava di valutare le criticità delle patch e l'urgenza di applicarle a seconda di un CI (Configuration Item) impattato:

Anche se fosse? Se entrano sul pc della segretaria so' già mazzi con le normative vigenti

Scusa, ma tu sei un appassionato di computer o sto parlando con un collega?

Davvero mi vieni a parlare di normativa vigente mentre io discuto di valutazione del rischio nel caso di un domain controller o il pc della segretaria?

Ma sai cos'è un Domain Controller? Riesci a immaginare le implicazioni di un incident di sicurezza su un Domain Controller che funziona anche come DNS?

E' finita, game over. Parliamo nel mio caso di miliardi di euro di danni e milioni di dati riservati potenzialmente trafugati in uno dei più grandi (se non il più grande) disastro informatico della storia. O pensi che gli IT lavorano tutti nel negozietto sotto casa?


Tornando un attimino in topic, visto che stiamo un pò uscendo dal seminato: la regola d'oro prima di rilasciare un aggiornamento è TEST TEST TEST and TEST.

Davvero mi vieni a parlare di normativa vigente mentre io discuto di valutazione del rischio nel caso di un domain controller o il pc della segretaria?

Ma sai cos'è un Domain Controller? Riesci a immaginare le implicazioni di un incident di sicurezza su un Domain Controller che funziona anche come DNS?


Sì, e per fortuna non ci ho a che fare :asd:

Ti assicuro comunque che se sei sysadmin e qualcuno ti denuncia perché dal pc della segretaria è uscito in qualche modo un file aziendale per quanto il danno sia pressoché nullo tu puoi vederterla parecchio brutta.

Se poi arrivi ad avere problemi sul dc significa che non sai fare il tuo lavoro (evidente non sia così nel tuo caso, è per spiegare la situazione).

Bene.
Quindi se ne deduce che il problema non erano certo i driver di stampa che fino a ieri funzionavano benissimo. :O
Al solito deduci male, come ti ho già scritto qui (https://www.hwupgrade.it/forum/showpost.php?p=47321027&postcount=45).

Rilasciata su Windows Update nuova Build 19042.868 (https://support.microsoft.com/en-us/help/5001567): :eekk:
- Risolto un problema che potrebbe causare una schermata blu quando si prova a stampare su certe stampanti usando alcune applicazioni

Ok la pezza, ma fammi uno script che automaticamente mi sistema TUTTE le stampanti. Ho stampanti ricoh in tutta italia in dominio, in alcune sedi ne ho una decina, gli utonti (tanti) non lanceranno mai lo scripit con il nome della stampante...
Faccio prima a mandare loro lo script per disinstallare la patchCi sono problemi anche con le Ricoh? Non sapevo...

Io e una decina di colleghi con una Kyocera (driver KX, tipo 3, modalità utente) stavamo diventando matti.
Abbiamo reinstallato la Kyocera usando il driver tipo 4 di Microsoft (PCL 6 generico) senza togliere la patch, e funziona a meraviglia...
Io stampo anche su una Ricoh (sempre con driver tipo 3, modalità utente, ma PCL 6) e non sta dando problemi per adesso.

doppio :)

Scusate, approfitto per chiedere aiuto proprio perchè mi sono accorto in questi giorni di un problema di stampa delle immagini che prima non accadeva e che di punto in bianco è comparso..
E' comparso oltretutto su due PC differenti con stampanti diverse. Hanno in comune solo windows 10 LTSC 1809.
Sospetto possa essere stato un aggiornamento automantico a causare il danno.. fatto sta che adesso se stampo delle immagini (su carta o su PDF non importa) stampa solo la prima srtiscia in alto e la striscia in basso lasciando bianco tutta la parte centrale..

Qualcuno ha avuto problemi simili?

Ci sono problemi anche con le Ricoh? Non sapevo...

Io e una decina di colleghi con una Kyocera (driver KX, tipo 3, modalità utente) stavamo diventando matti.
Abbiamo reinstallato la Kyocera usando il driver tipo 4 di Microsoft (PCL 6 generico) senza togliere la patch, e funziona a meraviglia...
Io stampo anche su una Ricoh (sempre con driver tipo 3, modalità utente, ma PCL 6) e non sta dando problemi per adesso.

Just for info: anche con i PCL6 / Type 4 forniti da Kyocera non ci sono problemi durante la stampa.

Sì, e per fortuna non ci ho a che fare :asd:

Ti assicuro comunque che se sei sysadmin e qualcuno ti denuncia perché dal pc della segretaria è uscito in qualche modo un file aziendale per quanto il danno sia pressoché nullo tu puoi vederterla parecchio brutta.

Se poi arrivi ad avere problemi sul dc significa che non sai fare il tuo lavoro (evidente non sia così nel tuo caso, è per spiegare la situazione).


Ma vedi Davide, nelle aziende di medie/grandi dimensioni, c'è sempre un dipartimento di Security, o un CSO (Chief Security Office) che si occupa di queste cose.

Il COBIT 5 https://it.wikipedia.org/wiki/COBIT
è una delle certificazioni più importanti in assoluto per coloro che fanno gli Auditor dei sistemi informativi (è raccomandata anche in Italia). La cosiddetta Guardia di Finanza delle aziende (come la chiamo io xD), che verifica se i sistemi di sicurezza sono conformi alla normativa vigente, suggerisce (anzi, impone!) le modifiche necessarie per la compliance e blablabla. Possono persino chiedere al management di cacciarti se vedono che non hai applicato le modifiche richieste.
Sono quelli che hanno la responsabilità di verificare e richiedere correzioni spesso di sicurezza (e non solo)... Proprio come dici tu.

Ma lo fanno loro, non il System Administrator.

Io ho lavorato come informatico in un'azienda di 65.000 dipendenti per alcuni anni. Gli incident di sicurezza ci sono stati, ma il System Administrator (o meglio, il team molto nutrito di system administrators) non è mai stato tirato in ballo, se non per la parte puramente tecnica e per consigli o procedure su come procedere al meglio.

Se io system administrator dico che c'è una vulnerabilità di medio/bassa, o media sicurezza, e i rischi connessi all'update sono più grossi rispetto ai benefici ricevuti (ovviamente secondo LA MIA analisi, condivisa con il mio Team ed il mio Manager), io non rilascio la Patch e informo via email il dipartimento di Security. Anzi, per dirla tutta il dipartimento di Security ha sempre un qualche tipo di accesso ai Report degli aggiornamenti, quindi anche senza il mio avviso dovrebbero sapere cosa è stato rilasciato e cosa no .

Il dipartimento di Security è composto da persone che (solitamente xD) dovrebbero essere esperti in sicurezza e conoscere le normative di sicurezza e le implicazioni legali del Paese in cui ci si trovano (in Germania è il BSI). Può essere un dipartimento di Audit IT, oppure un team di esperti di sicurezza che fanno solo quel lavoro. Ti garantisco che ogni azienda medio o grande che sia ne ha uno.

Io li informo. Punto. La palla passa a loro. Se loro non sono d'accordo, perchè secondo loro è vero l'opposto di quello che dico io e mi chiedono di rilasciare la Patch, SE NE ASSUMONO LA RESPONSABILITA'. Se invece non rispondono affatto alla mia mail, SE NE ASSUMONO COMUNQUE LA RESPONSABILITA', perchè è il loro lavoro occuparsi di queste cose... e stic@zzi :)

Il System Adminstrator fa il suo lavoro e supporta eventualmente gli altri nel loro, ma non può essere considerato responsabile dal punto di vista normativo, perchè la decisione in caso di dubbi viene SEMPRE presa a livello più alto. Come System Administrator mi rifiuterei di assumermi una simile responsabilità (ma non mi è mai neanche stata richiesta).

Quando lo scorso settembre all'ospedale di Dusseldorf si è verificato un attacco hacker che forse ha causato persino la morte di un paziente (!!), non mi risulta che i System Administrator siano finiti davanti a una corte di giustizia. Forse ci finirà il loro Manager, forse il coordinatore del dipartimento di Security, ma non certo il System Administrator, se non si può dimostrare che lui ha DELIBERATAMENTE fatto qualcosa di molto molto grave per abbassare gli standard di sicurezza.

https://www.medical-tribune.de/meinung-und-dialog/artikel/hackerangriff-auf-uniklinik-duesseldorf-war-der-ausfall-der-it-systeme-vermeidbar/

E nelle aziende piccole o molto piccole?

Mah, a meno che l'azienda non sia tua, o tu sia il consulente esterno responsabile (per quello si fanno le società a responsabilità limitata cmq :P) , li il problema non si pone, perchè se tu hai, che ne so, 100 macchine da gestire e crei un problema rilasciando un aggiornamento di sicurezza fallato, avrai una bruttissima giornata lavorativa ed eventualmente, manualmente o con sistemi automatizzati, rimuovereai la Patch incriminata ed amen.

Anzi, ancora meglio tu come System Administrator mandi una mail (la mail! Verba volant, scripta manent!) al tuo manager funzionale e lo informi. Se lui ti dice di rilasciare la patch, sono cazzi suoi, non tuoi. Se hai un manager sfruttalo, la responsabilità è sua e lui viene pagato per assumersi delle responsabilità :)


Ah, dulcis in fundo, sembra che il problema della patch buggata per le stampanti sia più grave del previsto. Anche alcuni software sembrano essere coinvolti:

https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-more-printing-issues-caused-by-march-updates/


Ora immaginate cosa sarebbe successo se mettevo KO decine e decine di stampanti in un posto dove, se non puoi stampare, la gente semplicemente non viene curata o muore :)

Lo ripeterò fino alla nausea: gli aggiornamenti vanno rilasciati a tutti, segretaria inclusa. Io sono un maniaco degli aggiornamenti. Driver, BIOS Update, e via dicendo... ma... TEST, TEST, TEST, TEST. Sempre.

Sempre