Закрываем уязвимость диспетчера очереди печати Windows (PrintNightmare)

2021-07-05 6484 комментарии
Рассмотрим инструкцию по закрытию новой уязвимости CVE-2021-34527 (PrintNightmare) удаленного выполнения кода в Windows, которая может использоваться для атаки диспетчера очереди печати

Обновлено: 07.07.2021. Microsoft выпустила экстренное исправление уязвимости PrintNightmare в Windows.

Обновлено: 07.07.2021. Microsoft выпустила обновление KB5004945 для Windows 10, версия 21H1, 20H2 и 2004 для устранение уязвимости PrintNightmare.

Microsoft недавно расскрыла информацию о новой уязвимости удаленного выполнения кода в Windows, которая использует диспетчер очереди печати Windows. Уязвимость активно эксплуатируется, и поэтому компания опубликовала сразу два предварительных решения для защиты систем от атак, использующих данную уязвимость.

Известно, что уязвимость CVE-2021-34527 (PrintNightmare) затрагивает как серверные операционные системы, такие как Windows Server 2008, 2012, в том числе Windows Server 2016, так и десктопные версии Windows 7 SP1, Windows 8.1, Windows 10 1809 и выше, в том числе Windows 10 21H1.

Компания Acros Security, разработчик 0patch Agent для Windows, проанализировав уязвимость, предположила, что проблема затрагивает преимущественно серверные версии Windows Server. Однако, уязвимость может также затрагивать и десктопные версии Windows 10 и серверные версии Windows Server без DC (контроллер доменов), при условии внесения следующих изменений в конфигурацию по умолчанию:

UAC (контроль учетных записей) полностью отключен
PointAndPrint NoWarningNoElevationOnInstall включен

Описание уязвимости CVE-2021-34527 (PrintNightmare):

Уязвимость удаленного выполнения кода эксплуатируется в случаях, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с правами SYSTEM. После этого злоумышленник может установливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя.

Атака вовлекает аутентифицированного пользователя, вызывающего RpcAddPrinterDriverEx ().

Убедитесь, что вы применили обновления безопасности, выпущенные от 8 июня 2021 г., и просмотрите разделы часто задаваемых вопросов и временное решение в этом описании уязвимости, чтобы узнать, как защитить вашу систему от этой уязвимости.

Microsoft предлагает два решения: отключение службы диспетчера очереди печати и отключение входящей удаленной печати с помощью групповой политики. Первое решение отключает локальную и удаленную печать на устройстве. Решение подойдет для случаев, когда функция печати не требуется и не подойдет для случаев, если функция печати используется на устройстве. Вы можете включить диспетчер очереди печати по запросу, но данное решение не удобно.

В качестве второго решения требуется доступ к редактору групповой политики, который доступнен только в версиях Windows Pro и Enterprise.

Два решения для закрытия уязвимости CVE-2021-34527 (PrintNightmare)

Отключение диспетчер очереди печати

Чтобы отключить диспетчер очереди печати, выполните следующие рекомендации:

  • Откройте PowerShell с повышенными привилегиями, например, используя сочитание клавиш Win+X и из выпадающего списка выберите Windows PowerShell (Администратор).
  • Поочередно запустите следующие команды:
Get-Service -Name Spooler
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

Последние две команда останавливают службу диспетчера очереди печати и отключают её.

Обратите внимание. После внесения изменений вы больше не сможете использовать функцию печати (если снова не включите службу диспетчера очереди печати).

Второе решение – отключение службы входящей удаленной печати с помощью редактора групповой политики

Чтобы отключить входящую удаленную печать, выполните следующие рекомендации:

  • Нажмите сочетание клавиш Windows+R, чтобы открыть окно команды «Выполнить».
  • Введите gpedit.msc и нажмите ОК.
  • В открывшемся Редакторе групповой политики перейдите по следующему пути: Конфигурация компьютера / Административные шаблоны / Принтеры
  • Два раза нажмите на политику Разрешить очереди печати принтера прием клиентских подключений.
  • Установите для политики значение Отключено.
  • Нажмите на кнопку Применить.

0Patch разработали и опубликовали микропатч, который устраняет проблему удаленного выполнения кода диспетчера очереди печати. Однако исправление было создано только для серверных версий Windows Server, в частности для Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 и Windows Server 2019.

© . По материалам Ghacks

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?