Løsning til sikkerhedsproblemet med Windows Print Spooler Remote Code Execution

0
235

af Martin Brinkmann den 3. juli 2021 i Windows – 3 kommentarer

Microsoft afslørede for nylig en ny sårbarhed med fjernudførelse af kode i Windows, der bruger Windows Print Spooler. Sårbarheden udnyttes aktivt, og Microsoft offentliggjorde to løsninger for at beskytte systemer mod angreb.

De angivne oplysninger er utilstrækkelige, da Microsoft ikke engang afslører de versioner af Windows, der er berørt af sikkerhedsproblemet. Fra det ser ud til, ser det ud til at påvirke domænekontrollere for det meste og ikke størstedelen af ​​hjemmecomputere, da det kræver eksternt godkendte brugere.

0Patch, der har analyseret programrettelsen, antyder at problemet hovedsageligt påvirker Windows Server-versioner, men at Windows 10-systemer og ikke-DC-servere også kan blive påvirket, hvis der er foretaget ændringer i standardkonfigurationen:

< p> UAC (brugerkontokontrol) er fuldstændig deaktiveret
PointAndPrint NoWarningNoElevationOnInstall er aktiveret

CVE tilbyder følgende beskrivelse:

Der findes en sårbarhed med fjernudførelse af kode, når Windows Print Spooler-tjenesten forkert udfører privilegerede filhandlinger. En hacker, der med succes udnyttede denne sårbarhed, kunne køre vilkårlig kode med SYSTEM-rettigheder. En hacker kunne derefter installere programmer; se, ændre eller slette data eller opret nye konti med fulde brugerrettigheder.

Et angreb skal involvere en godkendt bruger, der ringer til RpcAddPrinterDriverEx ().

Sørg for, at du har anvendt de sikkerhedsopdateringer, der blev frigivet den 8. juni 2021 , og se afsnittene FAQ og løsning i denne CVE for at få oplysninger om, hvordan du hjælper med at beskytte dit system mod denne sårbarhed.

Microsoft giver to forslag: at deaktivere Print Spooler-tjenesten eller at deaktivere indgående fjernudskrivning ved hjælp af gruppepolitikken. Den første løsning deaktiverer udskrivning, lokal og fjernbetjening, på enheden. Det kan være en løsning på systemer, hvor udskrivningsfunktionalitet ikke er påkrævet, men det er ikke rigtig en mulighed, hvis der udskrives på en enhed. Du kan skifte Print Spooler efter behov, men det kan hurtigt generes.

Den anden løsning kræver adgang til gruppepolitikken, som kun er tilgængelig i Pro- og Enterprise-versioner af Windows.

Her er begge løsninger:

windows remote printing sårbarhed

Gør følgende for at deaktivere printerspooleren:

  1. Åbn en forhøjet PowerShell-prompt, f.eks. ved at bruge Windows-X og vælge Windows PowerShell (administrator).
  2. Kør Get-Service -Name Spooler.
  3. Kør Stop-Service -Name Spooler -Force
  4. Stop-Service -Name Spooler -Force
  5. Set-Service -Name Spooler -StartupType Disabled

Kommando (4) stopper Print Spooler-tjenesten, kommando (5) deaktiverer det. Bemærk, at du ikke længere kan udskrive, når du foretager ændringerne (medmindre du aktiverer Print Spooler-tjenesten igen.

tillad udskriftsspooler at acceptere klientforbindelser

For at deaktivere indgående fjernudskrivning skal du gøre følgende:

  1. Åbn Start.
  2. Skriv gpedit.msc.
  3. Indlæs editoren for gruppepolitik.
  4. Gå til Computer Configuration/Administrative Templates/Printers.
  5. Dobbeltklik på Tillad Print Spooler for at acceptere klientforbindelser.
  6. Indstil politikken til Deaktiveret.
  7. Vælg ok.

0Patch har udviklet og offentliggjort en mikropatch, der løser problemet med Print Spooler Remote Code Execution. Plasteret er kun oprettet til Windows Server på det tidspunkt, specifikt Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 og Windows Server 2019.