A Microsoft felszólítja a felhasználókat, hogy kapcsolják ki a nyomtató spoolozását a nulla napos kihasználás elleni védelem érdekében

A Microsoft számos mérséklési intézkedést adott ki egy nulla napos kizsákmányolással szemben, a technológiai vállalat szerint "a támadók aktívan kihasználják".

A nulla napos kizsákmányolás, más néven PrintNightmare, kihasználja a Windows Print Spooler sebezhetőségét, és lehetővé teheti a támadók számára a kód távoli végrehajtását.

Noha nincs külön javítás a PrintNightmare számára, a Microsoft tanácsadója két lehetőséget tartalmaz, amelyeket a felhasználók alkalmazhatnak a rendszerük védelme érdekében a potenciálisan veszélyes kihasználásokkal szemben.

A PrintNightmare a pokol nyomtatási feladata

A nyomtatási spooler egy Windows szoftver szolgáltatás, amely kezeli a rendszer nyomtatási folyamatait. Amikor megnyomja a nyomtatást, a spooler átveszi a bejövő nyomtatási feladatot a szoftverből (vagy az operációs rendszerből), és biztosítja, hogy a nyomtató és erőforrásai (papír, tinta stb.) Készen állnak a cselekvésre. Több nyomtatási feladat küldésekor a spooler sorba állítja őket, és kezeli a nyomtató kimenetét.

A nyomtatási spooler szolgáltatás hozzáfér a teljes rendszerhez. Bár ártalmatlannak tűnik, az ilyen szolgáltatást célpontjává teheti azoknak a támadóknak, akik az egész rendszerre kiterjedő jogosultságokkal támadják az erőforrásokat.

Ebben az esetben a Sangfor kínai biztonsági vállalat véletlenül közzétette az a nulla napos támadás a GitHub oldalára. A cég azonnal kihúzta a kódot, de nem azelőtt, hogy elágazott volna, és a vadonba másolta volna.

PrintNightmare, nyomon követése CVE-2021-34527, egy távoli kódfuttatási sebezhetőség. Ez azt jelenti, hogy ha a támadó kihasználná a biztonsági rést, elméletileg kártékony kódot futtathatna egy célrendszeren. Bár Ön lehet a fő célpont egy ilyen kihasználásra, világszerte számítógépek és szerverek milliárdjai használják a Microsoft Print Spooler programot, ezért okoz ilyen problémákat a PrintNightmare.

Összefüggő: A legjobb ingyenes víruskereső szoftver

A Microsoft óvatosan javasolja a Spooler szolgáltatás letiltását

Amíg egy adott javítást nem találnak, A Microsoft azt tanácsolja felhasználók, vállalkozások és szervezetek számára, hogy tiltsák le a Print Spooler szolgáltatást minden olyan kiszolgálón, amelyre nincs szükség.

A szervezetek kétféleképpen kapcsolhatják ki a Print Spooler szolgáltatást: a PowerShellen vagy a Csoportházirenden keresztül.

PowerShell

1. Nyisd ki PowerShell.
2. Bemenet Stop-Service -Név Spooler -Force
3. Bemenet Set-Service -Név Spooler -StartupType letiltva

Csoportházirend

1. Nyissa meg a Csoportházirend-szerkesztő(gpedit.msc)
2. Tallózás ide: Számítógép konfigurációja / Felügyeleti sablonok / Nyomtatók
3. Keresse meg a Engedélyezze a Spooler számára az ügyfélkapcsolatok elfogadását irányelv
4. Állítva Letiltás> Alkalmazás

A Microsoft nem az egyetlen szervezet, amely azt tanácsolja a felhasználóknak, hogy a nyomtatási spooling szolgáltatásokat kapcsolják ki, ahol csak lehetséges. CISA is megjelent hasonló házirendet tanácsoló nyilatkozat, amely arra ösztönzi az adminisztrátorokat, hogy tiltsák le a Windows Print spooler szolgáltatást a tartományvezérlőkben és a rendszereken, amelyek nem nyomtatnak.

Noha a Microsoft újból kiadja ezt a tanácsot a PrintNightmare kapcsán, a vállalat mindenkor ezt a politikát tanácsolja, hogy ezzel a módszerrel védekezzen a váratlan behatolások ellen. A Print Spool szolgáltatás csoportházirend használatával történő kikapcsolása a legjobb módszer a tartományi szintű biztonság biztosítására.

A rosszindulatú programok megértése: 10 általános típus, amelyekről tudnia kell

Ismerje meg a rosszindulatú programok gyakori típusait és azok különbségeit, így megértheti, hogyan működnek a vírusok, a trójaiak és más kártevők.

Olvassa el a következőt

A szerzőről