Как уменьшить уязвимость диспетчера очереди печати (Print Spooler) в Windows 10

отредактировано 16 июл Раздел: Уязвимости систем и приложений
Вчера Microsoft выпустила несколько обновлений Windows для исправления широко известной уязвимости PrintNightmare в службе диспетчера очереди печати Windows.

По данным Microsoft, эта уязвимость затрагивает все версии Windows 10, включая последнее обновление за май 2021 года (версия 21H1) и версию 20H2 (обновление за октябрь 2020 года).

Чтобы развернуть исправление Microsoft, вам необходимо проверить наличие обновлений в разделе «Обновления и безопасность»> «Центр обновления Windows», применить последнее июльское обновление и перезагрузить систему при появлении соответствующего запроса.

Кроме того, вы можете установить экстренное обновление вручную из каталога Центра обновления Майкрософт, если вы не можете сделать это с помощью обычной процедуры Центра обновления Windows.

Однако исследователи обнаружили, что исправление Microsoft не является полным, и злоумышленники все еще могут использовать уязвимость, чтобы получить доступ к системе. К счастью, вы можете временно отключить службу Windows Print Spooler, чтобы уменьшить уязвимость, до тех пор, пока не будет выпущено надлежащее исправление.

В этом руководстве мы выделим шаги по отключению службы диспетчера очереди печати Windows и уменьшению уязвимости PrintNightmare CVE-2021-34527.

Отключить службу диспетчера очереди печати в Windows 10 с помощью PowerShell

Чтобы уменьшить уязвимость PrintNightmare с помощью PowerShell, выполните следующие действия:
1. Щелкните правой кнопкой мыши меню «Пуск» или нажмите Windows + X.
2. Щелкните «Windows PowerShell (Admin)».
3. Введите следующую команду, чтобы остановить службу диспетчера очереди печати:
Stop-Service -Name Spooler -Force
4. Введите следующую команду, чтобы запретить повторный запуск службы печати в будущем.
Set-Service -Name Spooler -StartupType Disabled
5. Close PowerShell window.

Если вы хотите снова включить службу диспетчера очереди печати, выполните следующие действия.
1. Щелкните правой кнопкой мыши меню «Пуск» или нажмите Windows + X.
2. Щелкните «Windows PowerShell (Admin)».
3. Введите следующую команду, чтобы включить службу диспетчера очереди печати:
Set-Service -Name Spooler -StartupType Automatic
4. Введите следующую команду, чтобы перезапустить службу печати:
Start-Service -Name Spooler
5. Закройте окно PowerShell.

Отключить службу диспетчера очереди печати в Windows 10 с помощью редактора групповой политики

Чтобы уменьшить уязвимость PrintNightmare с помощью редактора групповой политики в Windows 10 Pro и Enterprise, выполните следующие действия:

Откройте меню «Пуск» или Windows Search и введите gpedit.msc, чтобы открыть редактор локальной групповой политики.
В редакторе групповой политики перейдите по следующему пути: Конфигурация компьютера> Административные шаблоны> Принтеры.
Дважды нажмите «Разрешить диспетчеру печати принимать политику клиентских подключений».
Выберите вариант Отключено.
Нажмите на кнопку «Применить» и выберите «ОК».

Когда политика отключена, Microsoft сообщает, что диспетчер очереди печати автоматически отклоняет клиентские подключения и запрещает пользователям совместно использовать принтеры. Однако все принтеры, к которым в настоящее время используется общий доступ, по-прежнему будут использоваться совместно.

Чтобы изменения этой политики вступили в силу, необходимо перезапустить диспетчер очереди печати.

Если вы хотите повторно включить диспетчер очереди печати с помощью редактора групповой политики, выполните следующие действия:

Откройте меню «Пуск» и введите gpedit.msc, чтобы открыть редактор локальной групповой политики.
В редакторе групповой политики перейдите по следующему пути: Конфигурация компьютера> Административные шаблоны> Принтеры.
Дважды нажмите «Разрешить диспетчеру печати принимать политику клиентских подключений».
Выберите вариант Не настроено или Включено.
Нажмите на кнопку «Применить» и выберите «ОК».

https://www.bleepingcomputer.com/news/microsoft/how-to-mitigate-print-spooler-vulnerability-on-windows-10/

Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:

Комментарии

  • Microsoft: PrintNightmare теперь исправлен во всех версиях Windows

    Корпорация Майкрософт выпустила экстренное обновление безопасности KB5004948 для устранения уязвимости Windows Print Spooler PrintNightmare во всех выпусках Windows 10 1607 и Windows Server 2016.

    «Сейчас выпущено обновление для всех уязвимых версий Windows, которые все еще поддерживаются», - сообщила Microsoft в центре сообщений Windows.

    Ошибка PrintNightmare, зарегистрированная как CVE-2021-34527, позволяет злоумышленникам захватить затронутые серверы с помощью удаленного выполнения кода (RCE) с привилегиями SYSTEM.

    Подробные инструкции по установке этих внепплановых обновлений безопасности доступны в документах поддержки, ссылки на которые приведены ниже:

    Windows 10 версии 21H1 (KB5004945)
    Windows 10 версии 20H1 (KB5004945)
    Windows 10 версии 2004 (KB5004945)
    Windows 10 версии 1909 (KB5004946)
    Windows 10 версии 1809 и Windows Server 2019 (KB5004947)
    Windows 10 версии 1607 и Windows Server 2016 (KB5004948)
    Windows 10 версии 1507 (KB5004950)
    Windows Server 2012 (ежемесячный накопительный пакет KB5004956 / только для безопасности KB5004960)
    Windows 8.1 и Windows Server 2012 R2 (ежемесячный накопительный пакет KB5004954 / только для безопасности KB5004958)
    Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (ежемесячный накопительный пакет обновлений KB5004953 / только для безопасности KB5004951)
    Windows Server 2008 SP2 (ежемесячный накопительный пакет KB5004955 / только для безопасности KB5004959)

    «Microsoft рекомендует немедленно установить это обновление на все поддерживаемые клиентские и серверные операционные системы Windows, начиная с устройств, на которых в настоящее время размещается роль сервера печати», - добавила компания.

    «У вас также есть возможность настроить параметр реестра RestrictDriverInstallationToAdministrators, чтобы запретить пользователям, не являющимся администраторами, устанавливать подписанные драйверы принтера на сервер печати. ​​Для получения дополнительной информации см. KB5005010».

    https://www.bleepingcomputer.com/news/security/microsoft-printnightmare-now-patched-on-all-windows-versions/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 10 июл PM
    PrintNightmare 0-day может использоваться для захвата контроллеров домена Windows

    Стремясь первыми опубликовать доказательство концепции (PoC), исследователи опубликовали описание и демонстрационный эксплойт, чтобы продемонстрировать уязвимость, получившую название PrintNightmare. Только чтобы узнать, что они случайно предупредили мир о новой уязвимости нулевого дня.

    Что случилось?

    В июне Microsoft исправила уязвимость в диспетчере очереди печати Windows, которая значилась как CVE-2021-1675. Сначала это было классифицировано как уязвимость, связанная с повышением привилегий (EoP). Это означает, что кто-то с ограниченным доступом к системе может повысить свой уровень привилегий, дав ему больше власти над уязвимой системой. Этот тип уязвимости является серьезным, особенно если он обнаружен в широко используемой службе, такой как диспетчер очереди печати Windows. Через несколько недель после патча Microsoft повысила уровень серьезности уязвимости удаленного выполнения кода (RCE). Уязвимости RCE позволяют злоумышленнику выполнить свой код на другом компьютере в той же сети.

    Как обычно, общий совет заключался в установке исправлений от Microsoft, и все готово. Перенесемся еще на неделю, и один исследователь объявил, что нашел способ использовать уязвимость как для локального повышения привилегий, так и для удаленного выполнения кода. На самом деле это часто случается, когда исследователи реконструируют патч.

    Только в этом случае это имело неожиданные последствия. Другая группа исследователей также обнаружила уязвимость RCE в службе диспетчера очереди печати. Они назвали свой PrintNightmare и посчитали, что это то же самое, что и CVE-2021-1675. Они работали над презентацией, которая должна была состояться на конференции по безопасности Black Hat. Но теперь они опасались, что другая команда наткнулась на ту же уязвимость, поэтому они опубликовали свою работу, полагая, что она покрыта патчем, уже выпущенным Microsoft.

    Но исправление для CVE-2021-1675, похоже, не помогло устранить уязвимость PrintNightmare. Оказалось, что PrintNightmare и CVE-2021-1675 на самом деле были двумя очень похожими, но разными уязвимостями в диспетчере очереди печати.

    И при этом казалось, что команда PrintNightmare невольно безответственно раскрыла новую уязвимость нулевого дня. (Раскрытие уязвимостей считается ответственным, если поставщику дается достаточно времени для выпуска исправления.)

    С тех пор некоторые исследователи безопасности утверждали, что CVE-2021-1675 и PrintNightmare - одно и то же, а другие сообщали, что исправление CVE-2021-1675 работает в некоторых системах.

    Независимо от того, одинаковы они или нет, не подлежит сомнению то, что существуют живые системы Windows, в которых PrintNightmare не может быть исправлен. И, к сожалению, кажется, что системы, в которых исправление не работает, являются контроллерами домена Windows, что, по сути, является наихудшим сценарием.

    PrintNightmare

    Служба диспетчера очереди печати встроена в операционную систему Windows и управляет процессом печати. По умолчанию он работает на большинстве компьютеров с Windows, включая серверы Active Directory.

    Он выполняет предварительные функции поиска и загрузки драйвера печати, создания заданий на печать и, в конечном итоге, печати. Этот сервис существует «всегда», и он был плодотворным районом для поиска уязвимостей, многие недостатки были обнаружены и исправлены за эти годы. Помните Stuxnet? Stuxnet также использовал уязвимость в службе диспетчера очереди печати как часть набора уязвимостей, которые распространял червь.

    PrintNightmare может быть запущен непривилегированным пользователем, пытающимся загрузить вредоносный драйвер удаленно. Используя эту уязвимость, исследователи смогли получить привилегии SYSTEM и удаленное выполнение кода с наивысшими привилегиями в полностью исправленной системе.

    Чтобы воспользоваться уязвимостью, злоумышленники сначала должны получить доступ к сети с уязвимой машиной. Хотя это обеспечивает некоторую степень защиты, стоит отметить, что существуют подпольные рынки, где преступники могут приобрести такой доступ за несколько долларов.

    Если они могут защитить любой вид доступа, они потенциально могут использовать PrintNightmare, чтобы превратить обычного пользователя в всемогущего администратора домена. В качестве администратора домена они могли действовать практически безнаказанно, распространяя программы-вымогатели, удаляя резервные копии и даже отключая программное обеспечение безопасности.

    Смягчение

    Учитывая большое количество машин, которые могут быть уязвимы для PrintNightmare, и то, что было опубликовано несколько методов использования этой уязвимости, весьма вероятно, что вскоре появятся варианты злонамеренного использования этой уязвимости.

    Есть несколько вещей, которые вы можете сделать, пока уязвимость не будет исправлена. Microsoft, вероятно, попытается исправить уязвимость до следующего вторника (12 июля), но до тех пор вы можете:

    Отключите службу диспетчера очереди печати на машинах, которым она не нужна. Обратите внимание, что остановки службы без отключения может быть недостаточно.
    Убедитесь, что для систем, которым действительно нужна работающая служба диспетчера очереди печати, нет доступа к Интернету.

    Я понимаю, что вышеизложенное будет нелегко или даже осуществимо в каждом случае. Для тех машин, которым нужна служба диспетчера очереди печати и которые также должны быть доступны извне локальной сети, очень тщательно ограничивайте и отслеживайте события доступа и разрешения. Также любой ценой избегайте запуска службы диспетчера очереди печати на любых контроллерах домена.

    Для дальнейших мер полезно знать, что эксплойт работает, удаляя DLL в подкаталог в C: \ Windows \ System32 \ spool \ drivers, чтобы системные администраторы могли создать правило «Запретить изменение» для этого каталога и его подкаталогов, чтобы что даже учетная запись SYSTEM не может разместить в них новую DLL.

    Эта ситуация продолжает развиваться, и мы обновим эту статью, если появится дополнительная информация.

    Обновление 2 июля 2021 г.

    Microsoft признала эту уязвимость и получила CVE-2021-34527. В своем описании Microsoft также предоставляет дополнительный обходной путь помимо отключения службы диспетчера очереди печати.

    Отключить входящую удаленную печать через групповую политику

    Вы также можете настроить параметры через групповую политику следующим образом:

    Конфигурация компьютера / Административные шаблоны / Принтеры
    Отключите политику «Разрешить диспетчеру очереди печати принимать клиентские подключения:», чтобы блокировать удаленные атаки.

    Влияние обходного пути Эта политика блокирует вектор удаленной атаки, предотвращая входящие операции удаленной печати. Система больше не будет работать в качестве сервера печати, но локальная печать на напрямую подключенное устройство по-прежнему будет возможна.

    https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/07/printnightmare-0-day-can-be-used-to-take-over-windows-domain-controllers/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 16 июл PM
    Microsoft делится рекомендациями по устранению новой уязвимости диспетчера очереди печати Windows, которая отслеживается как CVE-2021-34481, которая была раскрыта сегодня вечером.

    В четверг вечером Microsoft выпустила информационный бюллетень по поводу новой уязвимости CVE-2021-34481, связанной с повышением привилегий в диспетчере очереди печати Windows, которую обнаружил исследователь безопасности Dragos Джейкоб Бейнс.

    В отличие от недавно исправленной уязвимости PrintNightmare, эту уязвимость можно использовать только локально для получения повышенных привилегий на устройстве.

    «Атака на самом деле не связана с PrintNightmare. Как вы знаете, PN может выполняться удаленно, и это локальная уязвимость», - подтвердил BleepingComputer Бейнс.

    В настоящее время мало что известно об уязвимости, в том числе о том, какие версии Windows уязвимы.

    Однако Бейнс поделился с BleepingComputer, что это связано с драйвером принтера.
    Бейнс поделится дополнительной информацией о CVE-2021-34481 7 августа во время выступления на DEF CON под названием «Принесите свою уязвимость в драйвере принтера».
    Доступны меры по смягчению последствий

    Хотя Microsoft не выпускала обновлений безопасности для устранения этой уязвимости, они предоставили меры по смягчению последствий, которые администраторы могут использовать, чтобы заблокировать злоумышленниками использование уязвимости.

    В настоящее время доступен вариант - отключить службу диспетчера очереди печати на уязвимом устройстве.

    Вариант 1. Отключите службу диспетчера очереди печати

    Если отключение службы диспетчера очереди печати подходит для вашего предприятия, используйте следующие команды PowerShell:

    Stop-Service -Name Spooler -Force

    Set-Service -Name Spooler -StartupType отключено

    Важно отметить, что если вы отключите диспетчер очереди печати на устройстве, устройство больше не будет печатать на локальном или удаленном принтере.

    https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-guidance-on-new-windows-print-spooler-vulnerability/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Новый zero day диспетчера очереди печати Windows, доступный для использования через удаленные серверы печати


    Еще одна уязвимость нулевого дня в Windows Print Spooler может предоставить злоумышленнику административные привилегии на компьютере с Windows через удаленный сервер под контролем злоумышленника и функцию «Файлы, относящиеся к очереди».

    В прошлом месяце исследователь безопасности случайно обнаружил уязвимость диспетчера очереди печати Windows нулевого дня, известную как PrintNightmare, которую Microsoft отслеживает как CVE-2021-34527.

    Использование этой уязвимости позволяет злоумышленнику повысить привилегии на машине или удаленно выполнить код.

    Microsoft выпустила обновление для системы безопасности, чтобы исправить уязвимость, но исследователи определили, что исправление можно обойти при определенных условиях.

    После неполного исправления исследователи безопасности тщательно изучили API-интерфейсы печати Windows и обнаружили дополнительные уязвимости, влияющие на диспетчер очереди печати Windows.

    Удаленный сервер печати, использованный в атаке
    Исследователь безопасности и создатель Mimikatz Бенджамин Делпи публично раскрыл новую уязвимость нулевого дня, которая позволяет злоумышленнику легко получить системные привилегии на машине Windows через удаленный сервер печати, находящийся под их контролем.

    https://www.bleepingcomputer.com/news/microsoft/new-windows-print-spooler-zero-day-exploitable-via-remote-print-servers/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.