Обхідний шлях для вразливості віддаленого виконання коду спулера друку Windows
- Категорія: Windows
Microsoft розкрито нова вразливість до віддаленого виконання коду у Windows, яка нещодавно використовує спулер друку Windows. Вразливість активно використовується, і Microsoft опублікувала два обхідні шляхи захисту систем від нападів.
Наданої інформації недостатньо, оскільки Microsoft навіть не розкриває версії Windows, на які впливає проблема безпеки. З вигляду це, схоже, впливає на контролери домену здебільшого, а не на більшість домашніх комп’ютерів, оскільки це вимагає віддалених автентифікованих користувачів.
Оновлення : Microsoft випустила оновлення поза діапазоном, щоб усунути вразливість, пов'язану з друком. Ви знайдете посилання на патчі на цю сторінку Microsoft . Кінець
0Патч , які проаналізували виправлення, припускають, що проблема переважно стосується версій Windows Server, але це також може вплинути на системи Windows 10 та сервери, що не належать до DC, якщо були внесені зміни до конфігурації за замовчуванням:
UAC (Контроль облікових записів користувачів) повністю вимкнено
PointAndPrint NoWarningNoElevationOnInstall увімкнено
CVE пропонує такий опис:
Уразливість віддаленого виконання коду існує, коли служба спулера друку Windows неправильно виконує привілейовані операції з файлами. Зловмисник, який успішно використав цю вразливість, міг би запускати довільний код із привілеями SYSTEM. Потім зловмисник міг встановлювати програми; перегляд, зміна або видалення даних; або створити нові облікові записи з повними правами користувачів.
Атака повинна включати автентифікованого користувача, який викликає RpcAddPrinterDriverEx ().
Будь ласка, переконайтеся, що ви застосували оновлення безпеки, випущені 8 червня 2021 року, і перегляньте розділи поширених запитань та обхідних шляхів у цьому CVE, щоб отримати інформацію про те, як захистити вашу систему від цієї вразливості.
Корпорація Майкрософт пропонує дві пропозиції: вимкнути службу спулера друку або вимкнути вхідний віддалений друк за допомогою групової політики. Перше обхідне рішення вимикає друк, локальний і віддалений, на пристрої. Це може бути рішенням для систем, у яких функція друку не потрібна, але це насправді не є варіантом, якщо друк здійснюється на пристрої. Ви можете перемикати програму спулера друку на вимогу, але це може швидко стати неприємністю.
Друге обхідне рішення вимагає доступу до групової політики, яка доступна лише у версіях Pro та Enterprise для Windows.
Ось обидва обхідні шляхи:
Щоб вимкнути спулер друку, виконайте наведені нижче дії.
- Відкрийте підвищений запит PowerShell, наприклад за допомогою Windows-X і вибравши Windows PowerShell (адміністратор).
- Запустіть Get -Service -Name Spooler.
- Запустіть Stop -Service -Name Spooler -Force
- Stop -Service -Name Spooler -Force
- Set -Service -Name Spooler -StartupType вимкнено
Команда (4) зупиняє службу спулера друку, команда (5) вимикає її. Зверніть увагу, що після внесення змін ви більше не зможете друкувати (якщо ви знову не ввімкнете службу спулера друку).
Щоб вимкнути вхідний віддалений друк, виконайте наведені нижче дії.
- Відкрийте Пуск.
- Введіть gpedit.msc.
- Завантажте редактор групової політики.
- Перейдіть до Конфігурація комп'ютера / Адміністративні шаблони / Принтери.
- Двічі клацніть на Дозволити спулеру друку приймати підключення клієнта.
- Встановіть для політики значення 'Вимкнено'.
- Виберіть ОК.
0Patch розробив і опублікував мікропатч що виправляє проблему віддаленого виконання коду спулера друку. Виправлення було створено лише для Windows Server на той час, зокрема для Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 та Windows Server 2019.