„Windows“ spausdinimo kaupiklio nuotolinio kodo vykdymo pažeidžiamumo sprendimas

Išbandykite Mūsų Instrumentą, Kaip Pašalinti Problemas

„Microsoft“ atskleista neseniai atsirado naujas nuotolinio kodo vykdymo pažeidžiamumas sistemoje „Windows“, kuriame naudojamas „Windows“ spausdinimo spoleris. Šis pažeidžiamumas aktyviai išnaudojamas, o „Microsoft“ paskelbė du būdus, kaip apsaugoti sistemas nuo užpuolimo.

Pateiktos informacijos nepakanka, nes „Microsoft“ net neatskleidžia „Windows“ versijų, kurias paveikė saugos problema. Iš pažiūros atrodo, kad tai daro įtaką domeno valdikliams, o ne daugumai namų kompiuterių, nes tam reikalingi nuotoliniu būdu patvirtinti vartotojai.

Atnaujinti : „Microsoft“ išleido juostos atnaujinimus, kad pašalintų su spausdinimu susijusią pažeidžiamumą. Rasite nuorodas į pleistrus šį „Microsoft“ puslapį . Galas

0 pleistras , išanalizavę pataisą, rodo, kad problema daugiausia turi įtakos „Windows Server“ versijoms, tačiau jei bus pakeista numatytoji konfigūracija, tai taip pat gali turėti įtakos „Windows 10“ sistemoms ir ne nuolatinės srovės serveriams:

UAC (vartotojo abonemento valdymas) yra visiškai išjungtas
„PointAndPrint NoWarningNoElevationOnInstall“ įgalintas

CVE siūlo tokį aprašymą:

Kai „Windows Print Spooler“ paslauga netinkamai atlieka privilegijuotas failų operacijas, atsiranda nuotolinio kodo vykdymo pažeidžiamumas. Puolėjas, sėkmingai išnaudojęs šį pažeidžiamumą, gali paleisti savavališką kodą su SYSTEM privilegijomis. Tada užpuolikas galėtų įdiegti programas; peržiūrėti, keisti ar ištrinti duomenis; arba sukurti naujas paskyras su visomis vartotojo teisėmis.

Ataka turi apimti autentifikuotą vartotoją, skambinantį RpcAddPrinterDriverEx ().

Įsitikinkite, kad pritaikėte saugos naujinimus, išleistus 2021 m. Birželio 8 d., Ir peržiūrėkite šios CVE skiltis DUK ir „Sprendimas“, kad gautumėte informacijos, kaip apsaugoti savo sistemą nuo šio pažeidžiamumo.

„Microsoft“ pateikia du pasiūlymus: išjungti „Print Spooler“ paslaugą arba išjungti įeinantį nuotolinį spausdinimą naudojant grupės politiką. Pirmasis sprendimas išjungia vietinį ir nuotolinį spausdinimą įrenginyje. Tai gali būti sprendimas sistemose, kuriose nereikia spausdinimo funkcijų, tačiau tai tikrai nėra galimybė, jei spausdinama naudojant įrenginį. Jei reikia, galite perjungti spausdinimo apipavidalinimo priemonę, tačiau tai gali greitai sukelti nepatogumų.

Antrasis sprendimas reikalauja prieigos prie grupės politikos, kuri pasiekiama tik „Windows“ „Pro“ ir „Enterprise“ versijose.

Čia pateikiami abu problemos sprendimo būdai:

„Windows“ nuotolinio spausdinimo pažeidžiamumas

Norėdami išjungti spausdinimo kaupiklį, atlikite šiuos veiksmus:

  1. Atidarykite padidintą „PowerShell“ raginimą, pvz. naudodami „Windows-X“ ir pasirinkę „Windows PowerShell“ (administratorius).
  2. Paleiskite „Get -Service -Name Spooler“.
  3. Paleiskite „Stop -Service“ -„Name Spooler -Force“
  4. Stop -Service -Pavadinimas Spooler -Force
  5. „Set -Service“ -„Name Spooler“ -„StartupType“ išjungtas

Komanda (4) sustabdo „Print Spooler“ paslaugą, komanda (5) ją išjungia. Atminkite, kad atlikę pakeitimus nebegalėsite spausdinti (nebent vėl įgalinsite spausdinimo spulerio paslaugą).

leisti spausdinimo kaupikliui priimti kliento ryšius

Norėdami išjungti įeinantį nuotolinį spausdinimą, atlikite šiuos veiksmus:

  1. Atidarykite Pradėti.
  2. Įveskite gpedit.msc.
  3. Įkelkite grupės strategijos redaktorių.
  4. Eikite į Kompiuterio konfigūracija / Administravimo šablonai / Spausdintuvai.
  5. Dukart spustelėkite „Leisti spausdinimo spolerį“, kad priimtų klientų ryšius.
  6. Nustatykite politiką kaip Išjungta.
  7. Pasirinkite gerai.

„0Patch“ sukūrė ir paskelbė mikropleistrą kuris išsprendžia spausdinimo spulerio nuotolinio kodo vykdymo problemą. Pataisa buvo sukurta tik tuo metu „Windows Server“, ypač „Windows Server 2008 R2“, „Windows Server 2021“, „Windows Server 2016“ ir „Windows Server 2019“.