Microsoft mówi użytkownikom, aby wyłączyli buforowanie drukarek w celu ochrony przed exploitami dnia zerowego

Microsoft wprowadził szereg środków łagodzących przeciwko exploitowi dnia zerowego, który według firmy technologicznej „atakujący aktywnie wykorzystują”.

Exploit dnia zerowego, znany jako DrukujKoszmar, wykorzystuje lukę w buforze wydruku systemu Windows i może umożliwić osobie atakującej zdalne wykonanie kodu.

Chociaż nie ma konkretnej poprawki dla PrintNightmare, poradnik Microsoftu zawiera dwie opcje, które użytkownicy mogą wdrożyć, aby chronić swój system przed potencjalnie niebezpiecznym exploitem.

PrintNightmare to praca drukarska z piekła rodem

Bufor wydruku to usługa oprogramowania systemu Windows, która zarządza procesami drukowania systemu. Po naciśnięciu przycisku drukowania bufor pobiera przychodzące zadanie drukowania z oprogramowania (lub systemu operacyjnego) i zapewnia, że ​​drukarka i jej zasoby (papier, atrament itp.) są gotowe do działania. Gdy wysyłasz wiele zadań drukowania, bufor umieszcza je w kolejce i zarządza wydrukami.

Usługa bufora wydruku ma dostęp do całego systemu. Choć brzmi to nieszkodliwie, może sprawić, że taka usługa stanie się celem dla atakujących, którzy chcą zaatakować zasoby z uprawnieniami ogólnosystemowymi.

W tym przypadku chińska firma ochroniarska Sangfor przypadkowo opublikowała exploita weryfikującego koncepcję dla atak dnia zerowego do swojej strony GitHub. Firma natychmiast wyciągnęła kod, ale dopiero po tym, jak został rozwidlony i skopiowany w głąb środowiska.

PrintNightmare, śledzone jako CVE-2021-34527, to usterka umożliwiająca zdalne wykonanie kodu. Oznacza to, że gdyby atakujący wykorzystał tę lukę, teoretycznie mógłby wykonać złośliwy kod na docelowym systemie. Chociaż możesz być głównym celem takiego exploita, miliardy komputerów i serwerów na całym świecie korzystają z Microsoft Print Spooler, dlatego PrintNightmare powoduje takie problemy.

Związane z: Najlepsze darmowe oprogramowanie antywirusowe

Microsoft ostrożnie zaleca wyłączenie usługi bufora wydruku S

Dopóki nie zostanie znaleziona konkretna poprawka, Microsoft doradza użytkownikom, firmom i organizacjom, aby wyłączyć usługę Bufor wydruku na dowolnym serwerze, który jej nie wymaga.

Istnieją dwa sposoby, w jakie organizacje mogą wyłączyć usługę Bufor wydruku: za pomocą programu PowerShell lub za pomocą zasad grupy.

PowerShell

1. otwarty PowerShell.
2. Wejście Zatrzymaj usługę -Spooler nazwy -Siła
3. Wejście Set-Service -Name Spooler -StartupType Disabled

Zasady grupy

1. Otworzyć Edytor zasad grupy(gpedit.msc)
2. Przejdź do Konfiguracja komputera / Szablony administracyjne / Drukarki
3. Znajdź Zezwól buforowi wydruku na akceptowanie połączeń klientów polityka
4. Ustawić Wyłącz > Zastosuj

Microsoft nie jest jedyną organizacją doradzającą użytkownikom wyłączanie usług buforowania wydruku tam, gdzie to możliwe.. CISA również wydany oświadczenie zalecające podobną politykę, zachęcające „administratorów do wyłączenia usługi bufora wydruku systemu Windows na kontrolerach domeny i systemach, które nie drukują”.

Chociaż firma Microsoft ponownie wydaje tę poradę dotyczącą PrintNightmare, firma zawsze zaleca stosowanie tych zasad, aby chronić przed nieoczekiwanymi włamaniami za pomocą tej metody. Wyłączenie usługi Bufor wydruku za pomocą zasad grupy jest najlepszym sposobem zapewnienia bezpieczeństwa w całej domenie.

Zrozumienie złośliwego oprogramowania: 10 typowych typów, o których powinieneś wiedzieć

Dowiedz się o typowych typach złośliwego oprogramowania i ich różnicach, aby zrozumieć, jak działają wirusy, trojany i inne złośliwe oprogramowanie.

Czytaj dalej

O autorze