Microsoft советует пользователям отключить буферизацию принтеров, чтобы защититься от уязвимостей нулевого дня

Microsoft выпустила ряд мер по снижению риска уязвимости нулевого дня, которую, по словам технологической компании, «злоумышленники активно используют».

Эксплойт нулевого дня, известный как PrintNightmare, использует уязвимость в диспетчере очереди печати Windows и может позволить злоумышленнику выполнить код удаленно.

Хотя для PrintNightmare нет специального исправления, совет Microsoft содержит два варианта, которые пользователи могут использовать для защиты своей системы от потенциально опасного эксплойта.

PrintNightmare – это задание на печать из ада

Диспетчер очереди печати – это программная служба Windows, которая управляет процессами печати в вашей системе. Когда вы нажимаете кнопку «Печать», диспетчер очереди печати принимает входящее задание на печать из программного обеспечения (или операционной системы) и обеспечивает готовность принтера и его ресурсов (бумаги, чернил и т. Д.) К работе. Когда вы отправляете несколько заданий на печать, диспетчер очереди печати ставит их в очередь и управляет выводом на принтер.

Служба диспетчера очереди печати имеет доступ ко всей системе. Хотя это звучит безобидно, это может сделать такую ​​службу целью для злоумышленников, которые хотят атаковать ресурсы с общесистемными привилегиями.

В этом случае китайская компания по безопасности Sangfor случайно опубликовала экспериментальный эксплойт для атаки нулевого дня на своей странице GitHub. Компания немедленно извлекла код, но не раньше, чем он был разветвлен и скопирован в «дикую природу».

PrintNightmare, отслеживается как CVE-2021-34527, является уязвимостью удаленного выполнения кода. Это означает, что если злоумышленник воспользуется уязвимостью, он теоретически может выполнить вредоносный код в целевой системе. Хотя вы можете быть основной целью такого эксплойта, миллиарды компьютеров и серверов по всему миру используют диспетчер очереди печати Microsoft, поэтому PrintNightmare вызывает такие проблемы.

Связанный: Лучшее бесплатное антивирусное программное обеспечение

Microsoft осторожно советует отключить службу диспетчера очереди печати

Пока не будет найдено конкретное исправление, Microsoft советует пользователи, предприятия и организации могут отключить службу диспетчера очереди печати на любом сервере, который в ней не нуждается.

Организации могут отключить службу диспетчера очереди печати двумя способами: через PowerShell или через групповую политику.

PowerShell

1. Откройте PowerShell.

2. Входной Stop-Service -Name Spooler -Force

3. Input Set-Service -Name Spooler -StartupType Disabled

Групповая политика

1. Откройте редактор групповой политики (gpedit.msc)

2. Перейдите в раздел Конфигурация компьютера / Административные шаблоны / Принтеры.

3. Найдите Разрешить диспетчеру очереди печати принимать политику клиентских подключений.

4. Установите для “Отключить”> “Применить”.

Microsoft – не единственная организация, которая советует пользователям отключать службы буферизации печати, где это возможно. CISA также выпущенный заявление, рекомендующее аналогичную политику, побуждающее администраторов отключить службу диспетчера очереди печати Windows в контроллерах домена и системах, которые не печатают.

Хотя Microsoft переиздает этот совет относительно PrintNightmare, компания всегда рекомендует использовать эту политику для защиты от неожиданных вторжений с помощью этого метода. Отключение службы очереди печати с помощью групповой политики – лучший способ обеспечить безопасность на уровне всего домена.