Microsoft le spune utilizatorilor să oprească spool-ul imprimantei pentru a se proteja împotriva exploatării Zero-Day

Microsoft a emis o serie de măsuri de atenuare împotriva unei exploatări de zi zero, spune compania tehnologică, „atacatorii exploatează activ”.

Exploitarea de zero zile, cunoscută sub numele de PrintNightmare, exploatează o vulnerabilitate în Windows Print Spooler și ar putea permite unui atacator să execute cod de la distanță.

Deși nu există o remediere specifică pentru PrintNightmare, recomandarea Microsoft conține două opțiuni pe care utilizatorii le pot implementa pentru a-și proteja sistemul împotriva exploatării potențial periculoase.

PrintNightmare este jobul de imprimare din iad

Spoolerul de imprimare este un serviciu software Windows care gestionează procesele de imprimare ale sistemului. Când apăsați imprimare, spoolerul preia lucrarea de imprimare primită de la software (sau sistem de operare) și asigură că imprimanta și resursele sale (hârtie, cerneală etc.) sunt pregătite pentru acțiune. Când trimiteți mai multe lucrări de imprimare, spoolerul le pune în coadă și gestionează ieșirea imprimantei.

Serviciul de spooler de imprimare are acces la întregul sistem. Deși sună inofensiv, poate face din acest serviciu o țintă pentru atacatorii care doresc să atace resurse cu privilegii la nivel de sistem.

În acest caz, compania chineză de securitate Sangfor a publicat accidental o dovadă a conceptului exploit pentru un atac zero-day la pagina sa GitHub. Compania a tras imediat codul, dar nu înainte de a fi furcat și copiat în sălbăticie.

PrintNightmare, urmărit ca CVE-2021-34527, este o vulnerabilitate la executarea codului la distanță. Aceasta înseamnă că, dacă un atacator ar exploata vulnerabilitatea, ar putea executa teoretic codul rău intenționat pe un sistem țintă. Deși ați putea fi principala țintă pentru o astfel de exploatare, miliarde de computere și servere din întreaga lume folosesc Microsoft Print Spooler, motiv pentru care PrintNightmare cauzează astfel de probleme.

Legate de: Cel mai bun software antivirus gratuit

Microsoft recomandă cu atenție dezactivarea serviciului de tipărire a imprimării

Până la găsirea unei corecții specifice, Microsoft recomandă utilizatori, companii și organizații pentru a dezactiva serviciul Print Spooler pe orice server care nu necesită acest lucru.

Există două moduri în care organizațiile pot dezactiva serviciul Print Spooler: prin PowerShell sau prin politica de grup.

PowerShell

1. Deschis PowerShell.
2. Intrare Stop-Service -Nume Spooler -Force
3. Intrare Set-Service -Name Spooler -StartupType Dezactivat

Politica de grup

1. Deschide Editor de politici de grup(gpedit.msc)
2. Navigați la Configurare computer / șabloane administrative / imprimante
3. Localizați Permiteți Print Spooler să accepte conexiunile clientului politică
4. Setat la Dezactivează> Aplică

Microsoft nu este singura organizație care îi recomandă utilizatorilor să oprească serviciile de spooling de imprimare acolo unde este posibil. CISA, de asemenea eliberată o declarație care recomandă o politică similară, încurajând „administratorii să dezactiveze serviciul de spooler Windows Print în controlere de domeniu și sisteme care nu imprimă”.

Deși Microsoft retransmite acest sfat cu privire la PrintNightmare, compania recomandă în permanență această politică pentru a proteja împotriva intruziunilor neașteptate prin această metodă. Dezactivarea serviciului Print Spool folosind o politică de grup este cea mai bună modalitate de a asigura securitate la nivel de domeniu.

Înțelegerea programelor malware: 10 tipuri comune pe care ar trebui să le cunoașteți

Aflați despre tipurile comune de malware și diferențele lor, astfel încât să puteți înțelege modul în care funcționează virușii, troienii și alte programe malware.

Citiți în continuare

Despre autor