„Microsoft“ liepia vartotojams išjungti spausdintuvo kaupimą, kad būtų apsaugota nuo nulio naudojimo

„Microsoft“ išleido daugybę švelninimo priemonių prieš nulinės dienos išnaudojimą. „Užpuolikai aktyviai išnaudoja“.

Nulinės dienos išnaudojimas, žinomas kaip „PrintNightmare“, naudoja „Windows Print Spooler“ pažeidžiamumą ir gali leisti užpuolikui vykdyti kodą nuotoliniu būdu.

Nors „PrintNightmare“ nėra konkretaus pataisymo, „Microsoft“ patarime yra dvi parinktys, kurias vartotojai gali naudoti, kad apsaugotų savo sistemą nuo potencialiai pavojingo išnaudojimo.

„PrintNightmare“ yra spausdinimo užduotis iš pragaro

Spausdinimo kaupiklis yra „Windows“ programinės įrangos paslauga, valdanti jūsų sistemos spausdinimo procesus. Paspaudus spausdinimo funkciją, kaupimo programa perima gaunamą spausdinimo užduotį iš programinės įrangos (arba operacinės sistemos) ir užtikrina, kad spausdintuvas ir jo ištekliai (popierius, rašalas ir kt.) Yra paruošti veikti. Kai siunčiate kelias spausdinimo užduotis, spoleris jas pateikia eilėje ir tvarko spausdintuvo išvestį.

„Print spooler“ paslauga gali naudotis visa sistema. Nors tai skamba nekenksmingai, ji gali padaryti tokią paslaugą užpuolikams, norintiems atakuoti išteklius su visos sistemos privilegijomis.

Šiuo atveju Kinijos saugumo kompanija „Sangfor“ netyčia paskelbė koncepcijos išnaudojimo įrodymą nulio dienos išpuolis į savo „GitHub“ puslapį. Įmonė nedelsdama išsitraukė kodą, bet ne anksčiau, nei jis buvo išsišakojęs ir nukopijuotas į laisvę.

„PrintNightmare“, stebimas kaip CVE-2021-34527yra nuotolinio kodo vykdymo pažeidžiamumas. Tai reiškia, kad jei užpuolikas išnaudos pažeidžiamumą, jis teoriškai galėtų vykdyti kenkėjišką kodą tikslinėje sistemoje. Nors galite būti pagrindinis tokio išnaudojimo taikinys, milijardai kompiuterių ir serverių visame pasaulyje naudoja „Microsoft Print Spooler“, todėl „PrintNightmare“ kelia tokias problemas.

Susijęs: Geriausia nemokama antivirusinė programinė įranga

„Microsoft“ atsargiai pataria išjungti spausdinimo kaupiklio paslaugą

Kol bus rastas konkretus pataisymas, „Microsoft“ pataria vartotojams, įmonėms ir organizacijoms išjungti „Print Spooler“ paslaugą bet kuriame serveryje, kuriam jos nereikia.

Organizacijos gali išjungti „Print Spooler“ paslaugą dviem būdais: per „PowerShell“ arba per grupės politiką.

„PowerShell“

1. Atviras „PowerShell“.
2. Įvestis „Stop-Service“ - „Name Spooler“ - „Force“
3. Įvestis „Set-Service“ - „Name Spooler“ - „StartupType“ išjungtas

Grupės nuostatos

1. Atidaryk Grupės politikos redaktorius(gpedit.msc)
2. Naršykite Kompiuterio konfigūracija / Administravimo šablonai / Spausdintuvai
3. Raskite Leiskite „Print Spooler“ priimti kliento ryšius politiką
4. Nustatytas į Išjungti> Taikyti

„Microsoft“ nėra vienintelė organizacija, patarianti vartotojams, jei įmanoma, išjungti spausdinimo kaupimo paslaugas. KISA taip pat paleistas pareiškimas, kuriame patarta panaši politika, raginantis „administratorius išjungti„ Windows Print “kaupiklio paslaugą domenų valdikliuose ir sistemose, kurios nespausdina“.

Nors „Microsoft“ pakartotinai išleidžia šį patarimą dėl „PrintNightmare“, bendrovė bet kuriuo metu pataria šiai politikai apsaugoti nuo netikėtų įsilaužimų naudojant šį metodą. „Print Spool“ paslaugos išjungimas naudojant grupės strategiją yra geriausias būdas užtikrinti viso domeno saugumą.

Suprasti kenkėjišką programą: 10 įprastų tipų, apie kuriuos turėtumėte žinoti

Sužinokite apie įprastus kenkėjiškų programų tipus ir jų skirtumus, kad galėtumėte suprasti, kaip veikia virusai, Trojos arklys ir kita kenkėjiška programa.

Skaitykite toliau

Apie autorių