Pag-areglo para sa Windows Print Spooler Remote Code External Vulnerability

• Kategorya: Windows

Subukan Ang Aming Instrumento Para Sa Pagtanggal Ng Mga Problema

Piliin Ang Operating System Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Pumili Ng Isang Programa Ng Projection (Opsyonal) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Ilarawan Ang Iyong Problema

Kumuha Ng Sagot

Ipadala Ako Sa Pamamagitan Ng Email Ipakita Sa Site

Microsoft isiniwalat isang bagong kahinaan sa pagpapatupad ng remote code sa Windows kamakailan lamang na gumagamit ng Windows Print Spooler. Ang kahinaan ay aktibong pinagsamantalahan at ang Microsoft ay naglathala ng dalawang mga workaround upang maprotektahan ang mga system mula sa pag-atake.

Ang ibinigay na impormasyon ay hindi sapat, dahil ang Microsoft ay hindi kahit na ibunyag ang mga bersyon ng Windows na apektado ng isyu sa seguridad. Mula sa mga hitsura nito, mukhang nakakaapekto ito sa mga domain controler sa halos lahat at hindi sa karamihan ng mga computer sa bahay, dahil nangangailangan ito ng mga remote na napatunayan na gumagamit.

Update : Inilabas ng Microsoft ang mga pag-update ng banda upang matugunan ang kahinaan na nauugnay sa pag-print. Mahahanap mo ang mga link sa mga patch sa ang pahinang Microsoft na ito . Tapusin

0Patch , na pinag-aralan ang patch, iminumungkahi na ang isyu ay nakakaapekto sa mga bersyon ng Windows Server higit sa lahat, ngunit ang mga Windows 10 system at mga server na hindi DC ay maaari ring maapektuhan kung ang mga pagbabago ay nagawa sa default na pagsasaayos:

Ang UAC (User Account Control) ay ganap na hindi pinagana
Ang PointAndPrint NoWarningNoElevationOnInstall ay pinagana

Nag-aalok ang CVE ng sumusunod na paglalarawan:

Ang isang kahinaan sa pagpapatupad ng malayuang code ay umiiral kapag ang serbisyong Windows Print Spooler ay hindi wastong nagsasagawa ng mga pribilehiyong pagpapatakbo ng file. Ang isang umaatake na matagumpay na pinagsamantalahan ang kahinaan na ito ay maaaring magpatakbo ng di-makatwirang code na may mga pribilehiyo ng SYSTEM. Ang isang magsasalakay ay maaaring mag-install ng mga programa; tingnan, baguhin, o tanggalin ang data; o lumikha ng mga bagong account na may ganap na mga karapatan ng gumagamit.

Ang isang pag-atake ay dapat na kasangkot ang isang napatunayan na gumagamit na tumatawag sa RpcAddPrinterDriverEx ().

Mangyaring tiyakin na inilapat mo ang mga update sa seguridad na inilabas noong Hunyo 8, 2021, at tingnan ang mga seksyon ng FAQ at Workaround sa CVE na ito para sa impormasyon tungkol sa kung paano makakatulong protektahan ang iyong system mula sa kahinaan na ito.

Nagbibigay ang Microsoft ng dalawang mungkahi: upang hindi paganahin ang serbisyo ng Print Spooler o upang hindi paganahin ang papasok na remote na pag-print gamit ang Patakaran sa Group. Hindi pinagana ng unang pag-areglo ang pag-print, lokal at remote, sa aparato. Maaaring ito ay isang solusyon sa mga system kung saan hindi kinakailangan ang pag-andar sa pag-print, ngunit hindi talaga ito isang pagpipilian kung ang pag-print ay tapos na sa isang aparato. Maaari mong i-toggle ang Print Spooler kapag hiniling, ngunit maaari itong maging isang istorbo nang mabilis.

Ang pangalawang pag-areglo ay nangangailangan ng pag-access sa Patakaran sa Grupo, na magagamit lamang sa mga bersyon ng Pro at Enterprise ng Windows.

Narito ang parehong mga workaround:

Upang hindi paganahin ang print spooler, gawin ang sumusunod:

1. Magbukas ng isang nakataas na prompt ng PowerShell, hal. sa pamamagitan ng paggamit ng Windows-X at pagpili ng Windows PowerShell (Admin).
2. Patakbuhin ang Get-Service -Name Spooler.
3. Patakbuhin ang Stop-Service -Name Spooler -Force
4. Stop-Service -Name Spooler -Force
5. I-disable ang Set-Service -Name Spooler -StartupType

Itinigil ng Command (4) ang serbisyo ng Print Spooler, hindi pinagana ito ng command (5). Tandaan na hindi mo na mai-print muli kapag ginawa mo ang mga pagbabago (maliban kung pinagana mo muli ang serbisyo ng Print Spooler.

Upang hindi paganahin ang papasok na remote na pag-print, gawin ang sumusunod:

1. Buksan ang Start.
2. I-type ang gpedit.msc.
3. I-load ang Group Policy Editor.
4. Pumunta sa Pag-configure ng Computer / Mga Template ng Administratibong / Mga Printer.
5. Mag-double click sa Payagan ang Print Spooler upang tanggapin ang mga koneksyon ng kliyente.
6. Itakda ang patakaran sa Hindi pinagana.
7. Piliin ang ok.

Ang 0Patch ay nakabuo at nag-publish ng isang micropatch na inaayos ang isyu ng Print Spooler Remote Code Exemption. Ang patch ay nilikha lamang para sa Windows Server sa oras, partikular sa Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 at Windows Server 2019.