Microsoft har utfärdat en rad mildrande åtgärder mot en noll-dagars exploatering som teknikföretaget säger, "angripare utnyttjar aktivt."
Nolldagens utnyttjande, känd som PrintNightmare, utnyttjar en sårbarhet i Windows Print Spooler och kan tillåta en angripare att köra koden på distans.
Även om det inte finns någon specifik lösning för PrintNightmare, innehåller Microsofts rådgivning två alternativ som användare kan distribuera för att skydda sitt system mot det potentiellt farliga utnyttjandet.
PrintNightmare är utskriftsjobbet från helvetet
Utskriftskylaren är en Windows-mjukvarutjänst som hanterar dina systemutskriftsprocesser. När du trycker på utskriften tar spoolern det inkommande utskriftsjobbet från programvaran (eller operativsystemet) och ser till att skrivaren och dess resurser (papper, bläck etc.) är redo för åtgärder. När du skickar flera utskriftsjobb köar spoolern dem i kö och hanterar skrivarutmatningen.
Utskriftskylartjänsten har tillgång till hela systemet. Även om det låter oskyldigt kan det göra en sådan tjänst till ett mål för angripare som vill angripa resurser med systemomfattande privilegier.
I det här fallet publicerade det kinesiska säkerhetsföretaget Sangfor av misstag en proof-of-concept-exploatering för en noll-dagars attack till sin GitHub-sida. Företaget drog omedelbart koden, men inte innan den gafflades och kopierades ut i naturen.
PrintNightmare, spåras som CVE-2021-34527, är en sårbarhet för fjärrkörning av kod. Detta innebär att om en angripare skulle utnyttja sårbarheten, kan de teoretiskt köra skadlig kod i ett målsystem. Även om du kanske är huvudmålet för ett sådant utnyttjande använder miljarder datorer och servrar världen över Microsoft Print Spooler, varför PrintNightmare orsakar sådana problem.
Relaterad: Det bästa gratis antivirusprogrammet
Microsoft rekommenderar försiktigt att inaktivera Print Spooler-tjänsten
Tills en specifik fix hittas, Microsoft rekommenderar användare, företag och organisationer för att inaktivera tjänsten Print Spooler på någon server som inte behöver det.
Det finns två sätt att organisationer kan inaktivera Print Spooler-tjänsten: via PowerShell eller via grupprincip.
PowerShell
- Öppna PowerShell.
- Inmatning Stop-Service -Name Spooler -Force
- Inmatning Set-Service -Name Spooler -StartupType Disabled
Gruppolicy
- Öppna Grupppolicyredaktör(gpedit.msc)
- Bläddra till Datorkonfiguration / administrativa mallar / skrivare
- Leta reda på Tillåt Print Spooler att acceptera klientanslutningar politik
- Satt till Inaktivera> Använd
Microsoft är inte den enda organisationen som råder användare att stänga av utskriftsspolningstjänster där det är möjligt. CISA också släppte ett uttalande som rekommenderar en liknande policy som uppmuntrar "administratörer att inaktivera Windows Print-spoolertjänsten i domänkontrollanter och system som inte skrivs ut."
Även om Microsoft ger ut detta råd om PrintNightmare, rekommenderar företaget denna policy hela tiden för att skydda mot oväntade intrång via denna metod. Att stänga av Print Spool-tjänsten med en grupprincip är det bästa sättet att säkerställa domänövergripande säkerhet.
Lär dig om de vanliga typerna av skadlig kod och deras skillnader, så att du kan förstå hur virus, trojaner och annan skadlig kod fungerar.
Läs Nästa
- Windows
- Tekniska nyheter
- Utskrift
- Skadlig programvara
- Bakdörr
Gavin är Junior Editor för Windows och Technology Explained, en regelbunden bidragsgivare till den riktigt användbara podcasten och en regelbunden produktgranskare. Han har en BA (Hons) samtida skrivning med digital konstpraxis som plundrats från Devons kullar, samt över ett decennium av professionell skriverfarenhet. Han gillar stora mängder te, brädspel och fotboll.
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!
Ett steg till…!
Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.
