Microsoft советует пользователям отключить буферизацию принтеров, чтобы защититься от уязвимостей нулевого дня

Дядя Влад

Microsoft выпустила ряд мер по снижению риска уязвимости нулевого дня, которую, по словам технологической компании, «злоумышленники активно используют».

Эксплойт нулевого дня, известный как PrintNightmare , использует уязвимость в диспетчере очереди печати Windows и может позволить злоумышленнику выполнить код удаленно.

Хотя для PrintNightmare нет специального исправления, в рекомендациях Microsoft содержатся два варианта, которые пользователи могут использовать для защиты своей системы от потенциально опасного эксплойта.

PrintNightmare – это задание на печать из ада

Диспетчер очереди печати – это программная служба Windows, которая управляет процессами печати в вашей системе. Когда вы нажимаете кнопку «Печать», диспетчер очереди печати принимает входящее задание на печать из программного обеспечения (или операционной системы) и обеспечивает готовность принтера и его ресурсов (бумаги, чернил и т. Д.) К работе. Когда вы отправляете несколько заданий на печать, диспетчер очереди печати ставит их в очередь и управляет выводом на принтер.

Служба диспетчера очереди печати имеет доступ ко всей системе. Хотя это звучит безобидно, но может сделать такую ​​службу целью для злоумышленников, которые хотят атаковать ресурсы с общесистемными привилегиями.

В этом случае китайская компания по безопасности Sangfor случайно опубликовала экспериментальный эксплойт для атаки нулевого дня на своей странице GitHub. Компания немедленно извлекла код, но не раньше, чем он был разветвлен и скопирован в «дикую природу».

PrintNightmare, отслеживаемая как CVE-2021-34527 , представляет собой уязвимость удаленного выполнения кода. Это означает, что если злоумышленник воспользуется уязвимостью, он теоретически может выполнить вредоносный код в целевой системе. Хотя вы можете стать основной целью такого эксплойта, миллиарды компьютеров и серверов по всему миру используют диспетчер очереди печати Microsoft, поэтому PrintNightmare вызывает такие проблемы.

Связанный: Лучшее бесплатное антивирусное программное обеспечение

Microsoft осторожно советует отключить службу диспетчера очереди печати

До тех пор, пока не будет найдено конкретное исправление, Microsoft рекомендует пользователям, предприятиям и организациям отключить службу диспетчера очереди печати на любом сервере, который в ней не нуждается.

Организации могут отключить службу диспетчера очереди печати двумя способами: через PowerShell или через групповую политику.

PowerShell

  1. Откройте PowerShell .
  2. Входной Stop-Service -Name Spooler -Force
  3. Input Set-Service -Name Spooler -StartupType Disabled

Групповая политика

  1. Откройте редактор групповой политики (gpedit.msc).
  2. Перейдите в раздел Конфигурация компьютера / Административные шаблоны / Принтеры.
  3. Найдите Разрешить диспетчеру очереди печати принимать политику клиентских подключений.
  4. Установите для Отключить> Применить

Microsoft – не единственная организация, которая советует пользователям отключать службы буферизации печати, где это возможно. CISA также выпустила заявление, в котором рекомендовала аналогичную политику, призывая «администраторов отключить службу диспетчера очереди печати Windows на контроллерах домена и системах, которые не выполняют печать».

Хотя Microsoft переиздает этот совет относительно PrintNightmare, компания всегда рекомендует использовать эту политику для защиты от неожиданных вторжений с помощью этого метода. Отключение службы очереди печати с помощью групповой политики – лучший способ обеспечить безопасность на уровне всего домена.