în această săptămână, imprimeu de coșmar Vulnerabilitatea Microsoft Print Spooler (CVE-2021-34527) a fost actualizată de la „scăzut” la „critic”.
Acest lucru se datorează unei dovezi de concept postate pe GitHub, pe care atacatorii le pot profita pentru a avea acces la controlerele de domeniu.
așa cum suntem Am menționat mai devremeMicrosoft a lansat deja un patch în iunie 2021, dar nu a fost suficient pentru a opri exploatările. Atacatorii pot utiliza în continuare imprimarea spoolerului atunci când se conectează de la distanță. Puteți găsi tot ce trebuie să știți despre această vulnerabilitate în acest articol și cum puteți (și puteți) să o atenuați.
Imprimați bobina pe scurt: Print Spooler este un serviciu Microsoft pentru gestionarea și monitorizarea tipăririi fișierelor. Acest serviciu este printre cele mai vechi servicii Microsoft și a avut actualizări minime de întreținere de la lansare.
Această caracteristică este activată implicit pe fiecare dispozitiv Microsoft (servere și puncte finale).
Bug de coșmar: Odată ce atacatorul are acces limitat la rețea, acesta se va putea conecta (direct sau de la distanță) la Spoolerul de imprimare. Deoarece Print Spooler are acces direct la nucleu, un atacator îl poate folosi pentru a obține acces la sistemul de operare, pentru a rula codul de la distanță cu privilegii de sistem și, în cele din urmă, pentru a ataca controlerul de domeniu.
Cea mai bună opțiune atunci când vine vorba de atenuarea vulnerabilității PrintNightmare este să dezactivați Print Spooler pe fiecare server și / sau stație de lucru sensibilă (cum ar fi stații de lucru administrator, stații de lucru live orientate spre internet și stații de lucru care nu sunt tipărite).
Aceasta este ceea ce Dvir Gorin, expert în consolidare și șef de tehnologie la فعله Soluții software CalCom, sugerează ca prim pas către atenuare.
Urmați acești pași pentru a dezactiva serviciul Print Spooler pe Windows 10:
- Deschideți meniul Start.
- Găsiți PowerShell, faceți clic dreapta pe el și selectați Run as administrator.
- Tastați comanda și apăsați Enter: oprire serviciu – denumirea în cache – forță
- Utilizați această comandă pentru a împiedica serviciul să pornească din nou copia de rezervă în timpul repornirii: Set-Service -Name Spooler -StartupType Disabled
Conform experienței Dvir, 90% dintre servere nu necesită Print Spooler. Aceasta este configurația implicită pentru majoritatea dintre ele, deci este de obicei activată. Ca urmare, dezactivarea acesteia poate rezolva 90% din problema dvs. și poate avea un impact minim asupra producției.
Pe infrastructuri mari și complexe, poate fi dificil să decideți unde să utilizați Print Spooler.
Iată câteva exemple care necesită un spooler de imprimare:
- Când utilizați serviciile Citrix,
- servere de fax,
- Orice aplicație care necesită tipărirea virtuală sau fizică a PDF-urilor, fișierelor XPS etc. Servicii de facturare și aplicații cu plată, de exemplu.
Iată câteva exemple în care Print Spooler nu este necesar, dar este activat în mod implicit:
- Controler de domeniu și Active Directory – Principalul risc al acestei vulnerabilități poate fi neutralizat prin practicarea igienei cibernetice de bază. Nu are sens să activați Print Spooler pe serverele DC și AD.
- Serverele membre, cum ar fi SQL, sistemul de fișiere și serverele Exchange.
- Mașini care nu necesită imprimare.
Câțiva alți pași de întărire sugerați de Dvir pentru dispozitivele bazate pe Print Spooler includ:
- Înlocuiți vulnerabilul Print Spooler cu un serviciu non-Microsoft.
- Prin schimbarea „Permiteți imprimantului spooler să accepte conexiunile clientului”, puteți limita accesul utilizatorilor și driverelor la imprimantul spooler la grupurile pe care ar trebui să le utilizeze.
- Dezactivați Spoolerul de imprimare online în grupul de compatibilitate pre-Windows 2000.
- Asigurați-vă că Point and Print nu este configurat la Fără avertisment – verificați cheia de registry SOFTWARE / Policies / Microsoft / Windows NT / Printers / PointAndPrint / NoElevationOnInstall pentru valoarea DWORD 1.
- Dezactivați EnableLUA Verificați cheia de registry SOFTWARE / Microsoft / Windows / CurrentVersion / Policies / System / EnableLUA pentru o valoare DWORD de 0.
Iată ce trebuie să faceți în continuare pentru a vă asigura că organizația dvs. este în siguranță:
- Stabiliți unde să utilizați Print Spooler în rețeaua dvs.
- Setați-vă rețeaua pentru a găsi dispozitivele care ar trebui să utilizeze Print Spooler.
- Dezactivați Print Spooler pe dispozitivele pe care nu le utilizați.
- Pentru dispozitivele care necesită Print Spooler – configurați-le într-un mod care reduce suprafața de atac.
În plus, pentru a găsi posibile dovezi ale exploatării, ar trebui să monitorizați și intrările de registry Microsoft-Windows-PrintService / Admin. Pot exista intrări cu mesaje de eroare care indică faptul că Print Spooler nu poate încărca DLL-uri suplimentare ale modulelor, deși acest lucru se poate întâmpla și dacă un atacator împachetează un DLL legitim pe care Print Spooler îl necesită.
Recomandarea finală a Dvir este de a implementa aceste recomandări prin intermediul Instrumente de automatizare a întăririi. Fără automatizare, ați petrece nenumărate ore încercând să se întărească manual și ar putea ajunge la vulnerabilități sau să provoace blocarea sistemelor.
După ce ați ales cursul de acțiune, a Instrument de automatizare a întăririi Acesta va detecta unde este activat Print Spooler, unde este deja utilizat și îl va dezactiva sau reconfigura automat.
„Iubitor tipic de twitter. Muzicholic pe tot parcursul vieții. Fanatic al culturii pop. Prieten al animalelor de pretutindeni. Evanghelist avid de bere. Jucător certificat.”