Kiertotapa Windowsin tulostusrullausohjelman etäkoodin suorittamisen haavoittuvuuteen

• Luokka: Windows

Kokeile Instrumenttia Ongelmien Poistamiseksi

Valitse Käyttöjärjestelmä Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Valitse Projektio -Ohjelma (Valinnaisesti) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Kuvaile Ongelmasi

Saada Vastausta

Lähetä Minut Sähköpostitse Näytä Sivustolla

Microsoft julkistettu uusi koodin suorittamisen etähaavoittuvuus Windowsissa äskettäin, joka käyttää Windows Print Spooler -ohjelmaa. Haavoittuvuutta hyödynnetään aktiivisesti, ja Microsoft julkaisi kaksi kiertotapaa suojatakseen järjestelmiä hyökkäyksiltä.

Annetut tiedot ovat riittämättömiä, koska Microsoft ei edes paljasta Windows -versioita, joihin suojausongelma vaikuttaa. Ulkonäöltään se vaikuttaa vaikuttavan pääosin toimialueen ohjaimiin eikä suurimpaan osaan kotitietokoneita, koska se vaatii etätodennettuja käyttäjiä.

Päivittää : Microsoft julkaisi kaistapäivitykset tulostamiseen liittyvän haavoittuvuuden korjaamiseksi. Löydät linkit laastareihin tämä Microsoft -sivu . Loppu

0Patch , jotka ovat analysoineet korjaustiedoston, viittaavat siihen, että ongelma vaikuttaa pääasiassa Windows Server -versioihin, mutta Windows 10 -järjestelmät ja muut kuin DC-palvelimet voivat myös vaikuttaa, jos oletusasetuksiin on tehty muutoksia:

UAC (User Account Control) on kokonaan pois käytöstä
PointAndPrint NoWarningNoElevationOnInstall on käytössä

CVE tarjoaa seuraavan kuvauksen:

Koodin suorittamisen etähaavoittuvuus on olemassa, kun Windows Print Spooler -palvelu suorittaa väärin etuoikeutettuja tiedostooperaatioita. Hyökkääjä, joka on hyödyntänyt tätä haavoittuvuutta, voi suorittaa mielivaltaisen koodin SYSTEM -oikeuksilla. Hyökkääjä voi sitten asentaa ohjelmia; tarkastella, muuttaa tai poistaa tietoja; tai luo uusia tilejä, joilla on täydet käyttöoikeudet.

Hyökkäyksen on sisällettävä todennettu käyttäjä, joka kutsuu RpcAddPrinterDriverEx ().

Varmista, että olet asentanut 8. kesäkuuta 2021 julkaistut tietoturvapäivitykset, ja katso tämän CVE: n usein kysytyt kysymykset ja kiertotavat -osiosta tietoja järjestelmän suojaamisesta tältä haavoittuvuudelta.

Microsoft tarjoaa kaksi ehdotusta: poistaa tulostuspohjapalvelun käytöstä tai poistaa saapuvan etätulostuksen käytöstä ryhmäkäytännön avulla. Ensimmäinen kiertotapa poistaa tulostimen käytöstä paikallisesta ja etäkäytöstä laitteessa. Se voi olla ratkaisu järjestelmissä, joissa tulostustoimintoja ei vaadita, mutta se ei ole vaihtoehto, jos tulostus suoritetaan laitteella. Voit vaihtaa tulostuksen taustatulostimen tarvittaessa, mutta siitä voi tulla nopeasti haittaa.

Toinen kiertotapa edellyttää pääsyä ryhmäkäytäntöön, joka on käytettävissä vain Windows- ja Pro -versioissa.

Tässä molemmat ratkaisut:

Voit poistaa tulostuskehyksen käytöstä seuraavasti:

1. Avaa kohonnut PowerShell -kehote, esim. käyttämällä Windows-X: ää ja valitsemalla Windows PowerShell (järjestelmänvalvoja).
2. Suorita Get -Service -Name Spooler.
3. Suorita Stop -Service -Name Spooler -Force
4. Stop -Service -Nimi Spooler -Force
5. Set -Service -Name Spooler -StartupType Disabled

Komento (4) pysäyttää tulostuksen taustatoiminnon, komento (5) poistaa sen käytöstä. Huomaa, ettet voi enää tulostaa, kun teet muutokset (ellet ota Tulostustapa -palvelua uudelleen käyttöön.

Voit poistaa saapuvan etätulostuksen käytöstä seuraavasti:

1. Avaa Käynnistä.
2. Kirjoita gpedit.msc.
3. Lataa ryhmäkäytäntöeditori.
4. Siirry kohtaan Tietokoneen asetukset / Hallintamallit / Tulostimet.
5. Kaksoisnapsauta Salli tulostuslaite hyväksyäksesi asiakasyhteydet.
6. Aseta käytäntö Ei käytössä.
7. Valitse ok.

0Patch on kehittänyt ja julkaissut mikrolaastarin joka korjaa tulostusrullausohjelman etäkoodin suoritusongelman. Korjaus on luotu vain Windows Serverille tuolloin, erityisesti Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 ja Windows Server 2019.