Заобиколно решение за уязвимостта на отдалечено изпълнение на кода на Windows Print Spooler

Опитайте Нашия Инструмент За Премахване На Проблемите

Microsoft разкрит нова уязвимост за отдалечено изпълнение на код в Windows, която наскоро използва Windows Print Spooler. Уязвимостта се използва активно и Microsoft публикува две решения, за да защити системите от атаки.

Предоставената информация е недостатъчна, тъй като Microsoft дори не разкрива версиите на Windows, които са засегнати от проблема със сигурността. От външния вид изглежда, че това засяга в по -голямата си част контролерите на домейни, а не по -голямата част от домашните компютри, тъй като изисква отдалечени удостоверени потребители.

Актуализиране : Microsoft пусна актуализации извън обхвата, за да се справи с уязвимостта, свързана с печата. Намирате връзки към пластирите на тази страница на Microsoft . Край

0 Кръпка , които са анализирали пластира, предполагат, че проблемът засяга предимно версиите на Windows Server, но системите на Windows 10 и не-DC сървърите също могат да бъдат засегнати, ако са направени промени в конфигурацията по подразбиране:

UAC (Контрол на потребителски акаунти) е напълно деактивиран
PointAndPrint NoWarningNoElevationOnInstall е активиран

CVE предлага следното описание:

Уязвимост от отдалечено изпълнение на код съществува, когато услугата Windows Print Spooler неправилно изпълнява привилегировани файлови операции. Нападател, който успешно е използвал тази уязвимост, може да изпълни произволен код с привилегии SYSTEM. След това нападателят може да инсталира програми; преглед, промяна или изтриване на данни; или създайте нови акаунти с пълни потребителски права.

Атаката трябва да включва удостоверен потребител, извикващ RpcAddPrinterDriverEx ().

Моля, уверете се, че сте приложили актуализациите за защита, издадени на 8 юни 2021 г., и вижте раздела с често задавани въпроси и заобиколно решение в тази CVE за информация как да защитите системата си от тази уязвимост.

Microsoft предлага две предложения: да деактивирате услугата Print Spooler или да деактивирате входящия отдалечен печат, като използвате груповите правила. Първото заобиколно решение деактивира печат, локален и отдалечен, на устройството. Може да е решение за системи, в които не се изисква функционалност за печат, но всъщност не е опция, ако отпечатването се извършва на устройство. Можете да превключвате Print Spooler при поискване, но това може бързо да стане неудобство.

Второто решение изисква достъп до груповите правила, който е наличен само в Pro и Enterprise версии на Windows.

Ето и двете решения:

уязвимост на отдалечен печат на windows

За да деактивирате спулера за печат, направете следното:

  1. Отворете повишена подкана на PowerShell, напр. като използвате Windows-X и изберете Windows PowerShell (администратор).
  2. Стартирайте Get -Service -Name Spooler.
  3. Изпълнете Stop -Service -Name Spooler -Force
  4. Stop -Service -Name Spooler -Force
  5. Set -Service -Name Spooler -StartupType Деактивиран

Команда (4) спира услугата Print Spooler, команда (5) я деактивира. Обърнете внимание, че няма да можете да печатате повече, когато направите промените (освен ако не активирате отново услугата Print Spooler.

позволяват на спулера за печат да приема клиентски връзки

За да деактивирате входящия отдалечен печат, направете следното:

  1. Отворете Старт.
  2. Въведете gpedit.msc.
  3. Заредете редактора на групови правила.
  4. Отидете на Конфигурация на компютъра / Административни шаблони / Принтери.
  5. Щракнете двукратно върху Разрешаване на печатния спулер да приема клиентски връзки.
  6. Задайте правилото на Disabled.
  7. Изберете ОК.

0Patch разработи и публикува микропач който отстранява проблема с отдалеченото изпълнение на кода на печатния спулер. Кръпката е създадена само за Windows Server по това време, по -специално Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 и Windows Server 2019.