Megkerülő megoldás a Windows nyomtatási sorkezelő távoli kódvégrehajtási biztonsági rése számára
- Kategória: Ablakok
Microsoft nyilvánosságra egy új távoli kódvégrehajtási biztonsági rés a Windows rendszerben, amely a Windows nyomtatási sorkezelőt használja. A biztonsági rést aktívan kihasználják, és a Microsoft két megoldást tett közzé, hogy megvédje a rendszereket a támadásoktól.
A megadott információ nem elegendő, mivel a Microsoft nem is hozza nyilvánosságra azokat a Windows -verziókat, amelyeket a biztonsági probléma érint. Látszólag úgy tűnik, hogy az otthoni számítógépek nagy részét és nem a tartományvezérlőket érinti, mivel távoli hitelesített felhasználókat igényel.
Frissítés : A Microsoft kiadta a sávfrissítéseket a nyomtatással kapcsolatos biztonsági rés megszüntetése érdekében. A javításokra mutató linkeket talál ezt a Microsoft oldalt . Vége
0Patch , akik elemezték a javítást, azt sugallják, hogy a probléma túlnyomórészt a Windows Server verzióit érinti, de a Windows 10 rendszereket és a nem egyenáramú szervereket is érintheti, ha az alapértelmezett konfigurációt módosították:
Az UAC (felhasználói fiókok felügyelete) teljesen le van tiltva
PointAndPrint NoWarningNoElevationOnInstall engedélyezve van
A CVE a következő leírást kínálja:
Távoli kódfuttatási biztonsági rés áll fenn, ha a Windows Print Spooler szolgáltatás helytelenül hajt végre privilegizált fájlműveleteket. A biztonsági rést sikeresen kihasználó támadó tetszőleges kódot futtathat SYSTEM jogosultságokkal. A támadó ezután programokat telepíthet; adatok megtekintése, módosítása vagy törlése; vagy hozzon létre új fiókokat teljes felhasználói jogokkal.
A támadásnak hitelesített felhasználónak kell részt vennie az RpcAddPrinterDriverEx () meghívásával.
Kérjük, győződjön meg arról, hogy alkalmazta a 2021. június 8 -án kiadott biztonsági frissítéseket, és tekintse meg a CVE GYIK és Megoldás szakaszát, hogy megtudja, hogyan védheti meg rendszerét a biztonsági réstől.
A Microsoft két javaslatot tesz: a nyomtatási sorkezelő szolgáltatás letiltására, vagy a bejövő távoli nyomtatás letiltására a csoportházirend használatával. Az első megoldás letiltja a nyomtatást, helyi és távoli, az eszközön. Megoldást jelenthet azokon a rendszereken, amelyeken nem szükséges nyomtatási funkció, de nem igazán választható, ha a nyomtatás eszközön történik. Igény szerint módosíthatja a nyomtatási sorkezelőt, de ez gyorsan kellemetlenséget okozhat.
A második megoldáshoz hozzá kell férni a csoportházirendhez, amely csak a Windows Pro és Enterprise verzióiban érhető el.
Íme mindkét megoldás:
A nyomtatási sorkezelő letiltásához tegye a következőket:
- Nyisson meg egy magasabb szintű PowerShell -parancssort, pl. a Windows-X használatával, és válassza a Windows PowerShell (Admin) lehetőséget.
- Futtassa a Get -Service -Name Spooler programot.
- Futtassa a Stop -Service -Name Spooler -Force parancsot
- Stop -Service -Name Spooler -Force
- Set -Service -Name Spooler -StartupType Letiltva
A (4) parancs leállítja a Nyomtatási sorkezelő szolgáltatást, az (5) parancs letiltja. Ne feledje, hogy a módosítások végrehajtása után már nem tud nyomtatni (kivéve, ha újra engedélyezi a Nyomtatási sorkezelő szolgáltatást.
A bejövő távoli nyomtatás letiltásához tegye a következőket:
- Nyissa meg a Start gombot.
- Írja be a gpedit.msc parancsot.
- Töltse be a csoportházirend -szerkesztőt.
- Lépjen a Számítógép konfigurálása / Felügyeleti sablonok / Nyomtatók oldalra.
- Kattintson duplán a Nyomtatási sorkezelő engedélyezése gombra az ügyfélkapcsolatok elfogadásához.
- Állítsa a házirendet Letiltva értékre.
- Válassza az OK lehetőséget.
A 0Patch kifejlesztett és közzétett egy mikrocsomagot amely kijavítja a nyomtatási sorkezelő távoli kódvégrehajtási problémáját. A javítást a Windows Server csak akkor hozta létre, különösen a Windows Server 2008 R2, a Windows Server 2021, a Windows Server 2016 és a Windows Server 2019.