Microsoft har utstedt en rekke avbøtende tiltak mot en null-dagers utnyttelse av teknologiselskapet, "angripere utnytter aktivt."
Nulldagens utnyttelse, kjent som PrintNightmare, utnytter et sårbarhet i Windows Print Spooler og kan tillate en angriper å utføre kode eksternt.
Selv om det ikke er noen spesifikk løsning for PrintNightmare, inneholder Microsofts rådgivning to alternativer brukere kan distribuere for å beskytte systemet mot potensielt farlig utnyttelse.
PrintNightmare er utskriftsjobben fra helvete
Utskriftskøen er en Windows-programvaretjeneste som administrerer systemutskriftsprosessene dine. Når du trykker på utskriften, tar spooleren den innkommende utskriftsjobben fra programvaren (eller operativsystemet) og sørger for at skriveren og dens ressurser (papir, blekk osv.) Er klare til handling. Når du sender flere utskriftsjobber, stiller spooleren dem i kø og administrerer skriverutdataene.
Utskriftskøetjenesten har tilgang til hele systemet. Selv om det høres uskadelig ut, kan det gjøre en slik tjeneste til et mål for angripere som ønsker å angripe ressurser med systemomfattende privilegier.
I dette tilfellet publiserte det kinesiske sikkerhetsselskapet Sangfor ved et uhell en proof-of-concept-utnyttelse for en null-dagers angrep til GitHub-siden. Selskapet dro straks koden, men ikke før den ble forked og kopiert ut i naturen.
PrintNightmare, spores som CVE-2021-34527, er et sårbarhet for ekstern kjøring av kode. Dette betyr at hvis en angriper skulle utnytte sårbarheten, kunne de teoretisk utføre ondsinnet kode på et målsystem. Selv om du kanskje er hovedmålet for en slik utnyttelse, bruker milliarder datamaskiner og servere over hele verden Microsoft Print Spooler, og det er derfor PrintNightmare forårsaker slike problemer.
I slekt: Den beste gratis antivirusprogramvaren
Microsoft anbefaler forsiktig å deaktivere Print Spooler-tjenesten
Inntil en spesifikk løsning er funnet, Råder Microsoft brukere, bedrifter og organisasjoner for å deaktivere Print Spooler-tjenesten på enhver server som ikke trenger det.
Det er to måter organisasjoner kan deaktivere Print Spooler-tjenesten: via PowerShell eller gjennom gruppepolicy.
Kraftskall
- Åpen Kraftskall.
- Inngang Stop-Service -Name Spooler -Force
- Inngang Set-Service -Name Spooler -StartupType Disabled
Gruppepolicy
- Åpne Gruppepolicyredaktør(gpedit.msc)
- Bla til Datakonfigurasjon / administrative maler / skrivere
- Finn Tillat Print Spooler å godta klientforbindelser Politikk
- Satt til Deaktiver> Bruk
Microsoft er ikke den eneste organisasjonen som råder brukere til å slå av utskriftskøtjenester når det er mulig. CISA også løslatt en uttalelse som anbefaler en lignende policy, og oppfordrer "administratorer til å deaktivere Windows Print-spoolertjenesten i domenekontrollere og systemer som ikke skrives ut."
Selv om Microsoft gir ut dette rådet om PrintNightmare på nytt, anbefaler selskapet denne policyen til enhver tid for å beskytte mot uventede innbrudd via denne metoden. Å slå av Print Spool-tjenesten ved hjelp av en gruppepolicy er den beste måten å sikre domenesikkerhet.
Lær om vanlige typer skadelig programvare og forskjellene mellom dem, slik at du kan forstå hvordan virus, trojanere og annen skadelig programvare fungerer.
Les Neste
- Windows
- Tekniske nyheter
- Printing
- Skadevare
- Bakdør
Gavin er Junior Editor for Windows and Technology Explained, en vanlig bidragsyter til den virkelig nyttige podcasten, og en vanlig produktanmelder. Han har en BA (Hons) moderne skriving med digital kunstutøvelse plyndret fra åsene i Devon, samt over et tiår med profesjonell skriveerfaring. Han liker store mengder te, brettspill og fotball.
Abonner på vårt nyhetsbrev
Bli med på nyhetsbrevet vårt for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!
Ett steg til…!
Bekreft e-postadressen din i e-posten vi nettopp sendte deg.
