Microsoft казва на потребителите да изключат навигацията на принтера, за да се предпазят от експлоит с нулев ден

Microsoft издаде поредица от смекчаващи мерки срещу експлоатация на нулев ден, според технологичната компания, "нападателите активно експлоатират."

Експлойтът с нулев ден, известен като PrintNightmare, експлоатира уязвимост в Windows Spooler за печат и може да позволи на атакуващия да изпълнява код дистанционно.

Въпреки че няма конкретна корекция за PrintNightmare, съветът на Microsoft съдържа две опции, които потребителите могат да разгърнат, за да защитят системата си от потенциално опасния експлойт.

PrintNightmare е заданието за печат от ада

Спулерът за печат е софтуерна услуга на Windows, която управлява процесите на печат на вашата система. Когато натиснете print, спулерът приема входящото задание за печат от софтуера (или операционната система) и гарантира, че принтерът и неговите ресурси (хартия, мастило и др.) Са готови за действие. Когато изпращате множество задания за печат, спулерът ги поставя на опашка и управлява изхода на принтера.

Услугата за буфер за печат има достъп до цялата система. Макар да звучи безобидно, тя може да направи такава услуга цел за атакуващи, които искат да атакуват ресурси с привилегии за цялата система.

В този случай китайската охранителна компания Sangfor случайно публикува доказателство за концепция за a атака с нулев ден към страницата му в GitHub. Компанията веднага извади кода, но не преди той да бъде раздвоен и копиран в дивата природа.

PrintNightmare, проследява се като CVE-2021-34527, е уязвимост при отдалечено изпълнение на код. Това означава, че ако нападателят е използвал уязвимостта, той теоретично би могъл да изпълни злонамерен код на целевата система. Въпреки че може да сте основната цел за подобен експлойт, милиарди компютри и сървъри по целия свят използват Microsoft Print Spooler, поради което PrintNightmare причинява подобни проблеми.

Свързани: Най-добрият безплатен антивирусен софтуер

Microsoft внимателно съветва да деактивирате услугата за печат на спулер

Докато не бъде намерена конкретна корекция, Microsoft съветва потребители, фирми и организации да деактивират услугата Print Spooler на всеки сървър, който не се нуждае от нея.

Има два начина, по които организациите могат да деактивират услугата Print Spooler: чрез PowerShell или чрез групови правила.

PowerShell

1. Отворете PowerShell.
2. Вход Stop-Service -Name Spooler -Force
3. Вход Set-Service -Name Spooler -StartupType Disabled

Групова политика

1. Отвори Редактор на групови правила(gpedit.msc)
2. Прегледайте Компютърна конфигурация / Административни шаблони / Принтери
3. Намерете Позволете на Print Spooler да приема клиентски връзки политика
4. Настроен на Деактивиране> Прилагане

Microsoft не е единствената организация, която съветва потребителите да изключват услугите за натрупване на печат, където е възможно. CISA също освободен изявление, препоръчващо подобна политика, насърчаващо „администраторите да деактивират услугата за спулер на Windows Print в контролери за домейни и системи, които не печатат“.

Въпреки че Microsoft преиздава този съвет относно PrintNightmare, компанията съветва тази политика по всяко време, за да се предпази от неочаквани прониквания чрез този метод. Изключването на услугата Print Spool с помощта на групови правила е най-добрият начин да се осигури защита в целия домейн.

Разбиране на зловредния софтуер: 10 често срещани типа, за които трябва да знаете

Научете за често срещаните видове зловреден софтуер и техните разлики, за да можете да разберете как работят вирусите, троянските коне и други зловредни програми.

Прочетете Напред

За автора