Løsning for sårbarheten for ekstern kjøring av Windows Print Spooler

• Kategori: Windows

Prøv Instrumentet Vårt For Å Eliminere Problemer

Velg Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Velg Et Projeksjonsprogram (Valgfritt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Problemet Ditt

Få Svar

Send Meg Via E -Post Vis På Nettstedet

Microsoft avslørt et nytt sårbarhet for ekstern kjøring av kode i Windows nylig som bruker Windows Print Spooler. Sårbarheten utnyttes aktivt og Microsoft publiserte to løsninger for å beskytte systemer mot angrep.

Den oppgitte informasjonen er utilstrekkelig, ettersom Microsoft ikke engang avslører versjonene av Windows som er berørt av sikkerhetsproblemet. Fra utseendet ser det ut til å påvirke domenekontrollere for det meste og ikke flertallet av hjemmemaskiner, ettersom det krever ekstern godkjente brukere.

Oppdater : Microsoft ga ut oppdateringer uten band for å løse det utskriftsrelaterte sikkerhetsproblemet. Du finner lenker til oppdateringene på denne Microsoft -siden . Slutt

0Patch , som har analysert oppdateringen, antyder at problemet hovedsakelig påvirker Windows Server-versjoner, men at Windows 10-systemer og ikke-DC-servere også kan påvirkes hvis det er gjort endringer i standardkonfigurasjonen:

UAC (User Account Control) er fullstendig deaktivert
PointAndPrint NoWarningNoElevationOnInstall er aktivert

CVE tilbyr følgende beskrivelse:

Det finnes et sårbarhet for ekstern kjøring av kode når Windows Print Spooler -tjenesten feilaktig utfører privilegerte filoperasjoner. En angriper som utnyttet dette sikkerhetsproblemet vellykket, kunne kjøre vilkårlig kode med SYSTEM -privilegier. En angriper kan deretter installere programmer; se, endre eller slette data; eller opprett nye kontoer med fulle brukerrettigheter.

Et angrep må involvere en godkjent bruker som ringer RpcAddPrinterDriverEx ().

Sørg for at du har brukt sikkerhetsoppdateringene som ble utgitt 8. juni 2021, og se avsnittene om vanlige spørsmål og løsning i denne CVE for informasjon om hvordan du kan beskytte systemet mot dette sikkerhetsproblemet.

Microsoft gir to forslag: å deaktivere Print Spooler -tjenesten eller å deaktivere inngående ekstern utskrift ved hjelp av gruppepolicyen. Den første løsningen deaktiverer utskrift, lokal og ekstern, på enheten. Det kan være en løsning på systemer som ikke krever utskriftsfunksjonalitet, men det er egentlig ikke et alternativ hvis utskrift utføres på en enhet. Du kan bytte Print Spooler på forespørsel, men det kan bli en plage raskt.

Den andre løsningen krever tilgang til gruppepolicyen, som bare er tilgjengelig på Pro- og Enterprise -versjoner av Windows.

Her er begge løsninger:

Gjør følgende for å deaktivere utskriftsspolen:

1. Åpne en forhøyet PowerShell -melding, f.eks. ved å bruke Windows-X og velge Windows PowerShell (Admin).
2. Kjør Get -Service -Name Spooler.
3. Kjør Stop -Service -Name Spooler -Force
4. Stop -Service -Name Spooler -Force
5. Set -Service -Name Spooler -StartupType deaktivert

Kommando (4) stopper Print Spooler -tjenesten, kommando (5) deaktiverer den. Vær oppmerksom på at du ikke lenger kan skrive ut når du gjør endringene (med mindre du aktiverer Print Spooler -tjenesten igjen.

Gjør følgende for å deaktivere inngående ekstern utskrift:

1. Åpne Start.
2. Skriv inn gpedit.msc.
3. Last inn Group Policy Editor.
4. Gå til Datakonfigurasjon / Administrative maler / Skrivere.
5. Dobbeltklikk på Tillat Print Spooler for å godta klientforbindelser.
6. Sett policyen til Disabled.
7. Velg ok.

0Patch har utviklet og publisert en mikropatch som løser problemet med utførelse av ekstern kode for utskriftskøler. Lappen har blitt opprettet for Windows Server bare den gangen, spesielt Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 og Windows Server 2019.