Microsoft har udsendt en række afbødningsforanstaltninger mod en nul-dags udnyttelse, som teknologivirksomheden siger, "angribere udnytter aktivt."
Nul-dages udnyttelse, kendt som PrintNightmare, udnytter en sårbarhed i Windows Print Spooler og kan give en hacker mulighed for at udføre kode eksternt.
Mens der ikke er nogen specifik løsning på PrintNightmare, indeholder Microsofts rådgivning to muligheder, som brugere kan implementere for at beskytte deres system mod den potentielt farlige udnyttelse.
PrintNightmare er udskriftsjob fra helvede
Print-spooleren er en Windows-softwaretjeneste, der administrerer dine systemudskrivningsprocesser. Når du rammer udskrivningen, tager spooleren det indgående udskriftsjob fra softwaren (eller operativsystemet) og sikrer, at printeren og dens ressourcer (papir, blæk osv.) Er klar til handling. Når du sender flere udskriftsjob, sætter spooleren dem i kø og administrerer printeroutput.
Print-spoolertjenesten har adgang til hele systemet. Selvom det lyder uskadeligt, kan det gøre en sådan tjeneste til et mål for angribere, der ønsker at angribe ressourcer med systemomfattende privilegier.
I dette tilfælde offentliggjorde det kinesiske sikkerhedsfirma Sangfor ved et uheld en proof-of-concept-udnyttelse til en nul-dages angreb til sin GitHub-side. Virksomheden trak straks koden, men ikke før den blev forked og kopieret ud i naturen.
PrintNightmare, spores som CVE-2021-34527, er en sårbarhed med ekstern kodeudførelse Dette betyder, at hvis en angriber udnytter sårbarheden, kunne de teoretisk udføre ondsindet kode på et målsystem. Mens du måske er hovedmålet for en sådan udnyttelse, bruger milliarder af computere og servere over hele verden Microsoft Print Spooler, hvorfor PrintNightmare forårsager sådanne problemer.
Relaterede: Den bedste gratis antivirussoftware
Microsoft anbefaler forsigtigt at deaktivere Print Spooler-tjenesten
Indtil en bestemt løsning er fundet, Microsoft rådgiver brugere, virksomheder og organisationer til at deaktivere Print Spooler-tjenesten på enhver server, der ikke kræver det.
Der er to måder, hvorpå organisationer kan deaktivere Print Spooler-tjenesten: via PowerShell eller via gruppepolitik.
PowerShell
- Åben PowerShell.
- Indgang Stop-Service-Navn Spooler -Force
- Indgang Set-Service -Name Spooler -StartupType Disabled
Gruppepolitik
- Åbn Gruppepolitisk redaktør(gpedit.msc)
- Gå til Computerkonfiguration / administrative skabeloner / printere
- Find Tillad Print Spooler at acceptere klientforbindelser politik
- Indstillet til Deaktiver> Anvend
Microsoft er ikke den eneste organisation, der råder brugere til at slukke for udskriftsspooling-tjenester, hvor det er muligt. CISA også frigivet en erklæring, der rådgiver en lignende politik, der tilskynder "administratorer til at deaktivere Windows Print-spoolertjenesten i domænekontrollere og systemer, der ikke udskriver."
Selvom Microsoft genudgiver dette råd vedrørende PrintNightmare, rådgiver virksomheden denne politik til enhver tid for at beskytte mod uventede indbrud via denne metode. At slukke for Print Spool-tjenesten ved hjælp af en gruppepolitik er den bedste måde at sikre sikkerhed på hele domænet.
Lær om de almindelige typer malware og deres forskelle, så du kan forstå, hvordan vira, trojanske heste og anden malware fungerer.
Læs Næste
- Windows
- Tekniske nyheder
- Trykning
- Malware
- Bagdør
Gavin er Junior Editor til Windows og Technology Explained, en regelmæssig bidragyder til den virkelig nyttige podcast og en regelmæssig produktanmelder. Han har en BA (Hons) moderne skrivning med digital kunstpraksis, der er plyndret fra Devons bakker, samt over et årti med professionel skriverfaring. Han nyder store mængder te, brætspil og fodbold.
Abonner på vores nyhedsbrev
Deltag i vores nyhedsbrev for tekniske tip, anmeldelser, gratis e-bøger og eksklusive tilbud!
Et trin mere !!!
Bekræft din e-mail-adresse i den e-mail, vi lige har sendt dig.