Lösning för sårbarheten för körning av fjärrkod i Windows Print Spooler
- Kategori: Windows
Microsoft avslöjas en ny sårbarhet för körning av fjärrkod i Windows nyligen som använder Windows Print Spooler. Sårbarheten utnyttjas aktivt och Microsoft publicerade två lösningar för att skydda system från att attackeras.
Den angivna informationen är otillräcklig, eftersom Microsoft inte ens avslöjar de versioner av Windows som påverkas av säkerhetsfrågan. Från utseendet verkar det påverka domänkontrollanterna för det mesta och inte majoriteten av hemdatorer, eftersom det kräver fjärrgodkända användare.
Uppdatering : Microsoft släppte uppdateringar utan band för att hantera det utskriftsrelaterade sårbarheten. Du hittar länkar till patchar på denna Microsoft -sida . Slutet
0Patch , som har analyserat korrigeringen, föreslår att problemet främst påverkar Windows Server-versioner, men att Windows 10-system och icke-DC-servrar också kan påverkas om ändringar har gjorts i standardkonfigurationen:
UAC (User Account Control) är helt inaktiverat
PointAndPrint NoWarningNoElevationOnInstall är aktiverat
CVE erbjuder följande beskrivning:
Det finns en sårbarhet för körning av fjärrkod när tjänsten Windows Print Spooler felaktigt utför privilegierade filoperationer. En angripare som lyckades utnyttja denna sårbarhet kan köra godtycklig kod med SYSTEM -privilegier. En angripare kan sedan installera program; visa, ändra eller radera data; eller skapa nya konton med fullständiga användarrättigheter.
En attack måste innebära att en autentiserad användare ringer RpcAddPrinterDriverEx ().
Se till att du har tillämpat säkerhetsuppdateringarna som släpptes den 8 juni 2021 och se avsnittet om vanliga frågor och lösningar i detta CVE för information om hur du skyddar ditt system från denna sårbarhet.
Microsoft ger två förslag: att inaktivera tjänsten Print Spooler eller att inaktivera inkommande fjärrutskrift med hjälp av grupprincipen. Den första lösningen inaktiverar utskrift, lokalt och fjärr, på enheten. Det kan vara en lösning på system där utskriftsfunktionalitet inte krävs, men det är egentligen inte ett alternativ om utskrift sker på en enhet. Du kan växla Print Spooler på begäran, men det kan snabbt bli besvärande.
Den andra lösningen kräver åtkomst till grupprincipen, som bara är tillgänglig på Pro- och Enterprise -versioner av Windows.
Här är båda lösningar:
Gör följande för att inaktivera utskriftsspolen:
- Öppna en förhöjd PowerShell -prompt, t.ex. genom att använda Windows-X och välja Windows PowerShell (Admin).
- Kör Get -Service -Name Spooler.
- Kör Stop -Service -Name Spooler -Force
- Stop -Service -Name Spooler -Force
- Set -Service -Name Spooler -StartupType inaktiverat
Kommando (4) stoppar tjänsten Print Spooler, kommando (5) inaktiverar den. Observera att du inte kommer att kunna skriva ut längre när du gör ändringarna (om du inte aktiverar Print Spooler -tjänsten igen.
Gör följande för att inaktivera inkommande fjärrutskrift:
- Öppna Start.
- Skriv gpedit.msc.
- Ladda Group Policy Editor.
- Gå till Datorkonfiguration / Administrativa mallar / skrivare.
- Dubbelklicka på Tillåt Print Spooler att acceptera klientanslutningar.
- Ställ in policyn till Inaktiverad.
- Välj ok.
0Patch har utvecklat och publicerat en mikropatch som löser Print Spooler Remote Code Execution -problemet. Patchen har skapats för Windows Server endast vid den tiden, särskilt Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 och Windows Server 2019.