Løsning for sikkerhetsproblemet i Windows Print Spooler ekstern kjøring av kode

0
112

av Martin Brinkmann 3. juli 2021 i Windows – 3 kommentarer

Microsoft avslørte et nytt sårbarhet for ekstern kjøring av kode i Windows nylig som bruker Windows Print Spooler. Sårbarheten utnyttes aktivt, og Microsoft publiserte to løsninger for å beskytte systemer mot å bli angrepet.

Den oppgitte informasjonen er utilstrekkelig, ettersom Microsoft ikke engang avslører hvilke versjoner av Windows som er berørt av sikkerhetsproblemet. Fra utseendet til det ser det ut til å påvirke domenekontrollere for det meste og ikke flertallet av hjemme-datamaskiner, da det krever eksternt autentiserte brukere.

0Patch, som har analysert oppdateringen, antyder at problemet hovedsakelig påvirker Windows Server-versjoner, men at Windows 10-systemer og ikke-DC-servere også kan påvirkes hvis det er gjort endringer i standardkonfigurasjonen:

< p> UAC (User Account Control) er fullstendig deaktivert
PointAndPrint NoWarningNoElevationOnInstall er aktivert

CVE tilbyr følgende beskrivelse:

Det er et sikkerhetsproblem med ekstern kjøring av kode når Windows Print Spooler-tjenesten feil utfører privilegerte filoperasjoner. En angriper som vellykket utnyttet dette sikkerhetsproblemet, kan kjøre vilkårlig kode med SYSTEM-privilegier. En angriper kunne da installere programmer; se, endre eller slette data; eller opprett nye kontoer med full brukerrettigheter.

Et angrep må involvere en autentisert bruker som ringer til RpcAddPrinterDriverEx ().

Forsikre deg om at du har brukt sikkerhetsoppdateringene som ble utgitt 8. juni 2021 , og se avsnittene FAQ og løsning i denne CVE-en for informasjon om hvordan du kan beskytte systemet ditt mot dette sikkerhetsproblemet.

Microsoft gir to forslag: å deaktivere Print Spooler-tjenesten eller å deaktivere inngående ekstern utskrift ved hjelp av gruppepolicyen. Den første løsningen deaktiverer utskrift, lokal og ekstern, på enheten. Det kan være en løsning på systemer der utskriftsfunksjonalitet ikke er nødvendig, men det er egentlig ikke et alternativ hvis utskrift gjøres på en enhet. Du kan bytte ut Print Spooler på forespørsel, men det kan bli en plage raskt.

Den andre løsningen krever tilgang til gruppepolicyen, som bare er tilgjengelig i Pro- og Enterprise-versjoner av Windows.

Her er begge løsningene:

windows remote printing vulnerability

For å deaktivere utskriftskøen, gjør følgende:

  1. Åpne en forhøyet PowerShell-ledetekst, f.eks. ved å bruke Windows-X og velge Windows PowerShell (Admin).
  2. Kjør Get-Service -Name Spooler.
  3. Kjør Stop-Service -Name Spooler -Force
  4. Stop-Service -Name Spooler -Force
  5. Set-Service -Name Spooler -StartupType Disabled

Kommando (4) stopper Print Spooler-tjenesten, kommando (5) deaktiverer den. Merk at du ikke vil kunne skrive ut lenger når du gjør endringene (med mindre du aktiverer Print Spooler-tjenesten igjen.

tillat utskriftskøen å godta klienttilkoblinger

For å deaktivere innkommende ekstern utskrift, gjør du følgende:

  1. Åpne Start.
  2. Skriv gpedit.msc.
  3. Last inn redigeringsprogrammet for gruppepolicy.
  4. Gå til Computer Configuration/Administrative Templates/Printers.
  5. Dobbeltklikk på Tillat Print Spooler for å godta klientforbindelser.
  6. Sett policyen til Deaktivert.
  7. Velg ok.

0Patch har utviklet og publisert en mikropatch som løser problemet med Print Spooler Remote Code Execution. Oppdateringen ble opprettet for Windows Server bare på den tiden, spesielt Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 og Windows Server 2019.