Microsoft советует пользователям отключить буферизацию принтеров, чтобы защититься от уязвимостей нулевого дня

Microsoft выпустила ряд мер по снижению риска уязвимости нулевого дня, которую, по словам технологической компании, «злоумышленники активно используют».

Эксплойт нулевого дня, известный как Распечатать, использует уязвимость в диспетчере очереди печати Windows и может позволить злоумышленнику удаленно выполнить код.

Хотя для PrintNightmare нет специального исправления, в рекомендациях Microsoft содержатся два варианта, которые пользователи могут использовать для защиты своей системы от потенциально опасного эксплойта.

PrintNightmare - это задание на печать из ада

Диспетчер очереди печати - это программная служба Windows, которая управляет процессами печати в вашей системе. Когда вы нажимаете кнопку «Печать», диспетчер очереди печати принимает входящее задание на печать из программного обеспечения (или операционной системы) и обеспечивает готовность принтера и его ресурсов (бумаги, чернил и т. Д.) К работе. Когда вы отправляете несколько заданий на печать, диспетчер очереди печати ставит их в очередь и управляет выводом на принтер.

Служба диспетчера очереди печати имеет доступ ко всей системе. Хотя это звучит безобидно, но может сделать такую ​​службу целью для злоумышленников, которые хотят атаковать ресурсы с общесистемными привилегиями.

В данном случае китайская охранная компания Sangfor случайно опубликовала экспериментальный эксплойт для атака нулевого дня на свою страницу GitHub. Компания немедленно извлекла код, но не раньше, чем он был разветвлен и скопирован в «дикой природе».

PrintNightmare, отслеживается как CVE-2021-34527, является уязвимостью удаленного выполнения кода. Это означает, что если злоумышленник воспользуется уязвимостью, он теоретически может выполнить вредоносный код в целевой системе. Хотя вы можете стать основной целью такого эксплойта, миллиарды компьютеров и серверов по всему миру используют диспетчер очереди печати Microsoft, поэтому PrintNightmare вызывает такие проблемы.

Связанный: Лучшее бесплатное антивирусное программное обеспечение

Microsoft осторожно советует отключить службу диспетчера очереди печати

Пока не будет найдено конкретное исправление, Microsoft советует пользователи, предприятия и организации могут отключить службу диспетчера очереди печати на любом сервере, который в ней не нуждается.

Организации могут отключить службу диспетчера очереди печати двумя способами: через PowerShell или через групповую политику.

PowerShell

1. Открыть PowerShell.
2. Вход Stop-Service -Name Spooler -Force
3. Вход Set-Service -Name Spooler -StartupType отключено

Групповая политика

1. Открой Редактор групповой политики(gpedit.msc)
2. Просмотрите к Конфигурация компьютера / Административные шаблоны / Принтеры
3. Найдите Разрешить диспетчеру очереди печати принимать клиентские подключения политика
4. Установлен в Отключить> Применить

Microsoft - не единственная организация, которая советует пользователям отключать службы буферизации печати, где это возможно. CISA также выпущенный заявление, рекомендующее аналогичную политику, побуждающее администраторов отключить службу диспетчера очереди печати Windows на контроллерах домена и системах, которые не печатают.

Хотя Microsoft переиздает этот совет относительно PrintNightmare, компания всегда рекомендует использовать эту политику для защиты от неожиданных вторжений с помощью этого метода. Отключение службы очереди печати с помощью групповой политики - лучший способ обеспечить безопасность на уровне всего домена.

Понимание вредоносного ПО: 10 распространенных типов, о которых вам следует знать

Узнайте об общих типах вредоносных программ и их различиях, чтобы понять, как работают вирусы, трояны и другие вредоносные программы.

Читать далее

Об авторе