Microsoft sanoo, että PrintNightmarea hyödynnetään jo, ja se tarjoaa ratkaisun

Ilmoitimme kaksi päivää sitten uudesta ja korjaamattomasta Zero-day-hyödynnyksestä, joka on juuri julkaistu ja joka antaa hyökkääjille täydelliset koodin etäsuoritusominaisuudet täysin korjatuissa Windowsin tulostustausta-laitteissa.

PrintNightmare-niminen hakkerointi mahdollistaa hyökkääjän koodin suorittamisen kaikilla järjestelmäoikeuksilla, ja se julkaistiin Proof of Concept -koodin kanssa, joten se oli kypsä hakkereiden hyväksikäyttöön.

Pääasiallinen lieventävä tekijä on, että hakkerit tarvitsevat joitain (jopa heikommassa asemassa olevia) verkkotunnuksia, mutta yritysverkoissa ne voidaan ostaa helposti noin 3 dollarilla.

Microsoft on nyt vihdoin vastannut uutisiin julkaisemalla CVE-2021-34527 Windows Print Spooler Remote Code Execution Vulnerability -ilmoituksen.

Microsoft sanoo:

Microsoft on tietoinen ja tutkii koodin etäsuorittamisen haavoittuvuutta, joka vaikuttaa Windows Print Spooleriin, ja on määrittänyt CVE-2021-34527 tälle haavoittuvuudelle. Tämä on muuttuva tilanne, ja päivitämme CVE:n, kun lisätietoja on saatavilla.

Koodin etäsuorittamisen haavoittuvuus syntyy, kun Windowsin taustatulostuspalvelu suorittaa virheellisesti suojattuja tiedostotoimintoja. Tätä haavoittuvuutta onnistuneesti hyödyntänyt hyökkääjä voi suorittaa mielivaltaisen koodin JÄRJESTELMÄ-oikeuksilla. Hyökkääjä voi sitten asentaa ohjelmia; tarkastella, muuttaa tai poistaa tietoja; tai luo uusia tilejä kaikilla käyttöoikeuksilla.

Hyökkäykseen tulee osallistua todennettu käyttäjä, joka kutsuu RpcAddPrinterDriverEx().

Varmista, että olet asentanut 8. kesäkuuta 2021 julkaistut tietoturvapäivitykset, ja katso tämän CVE:n UKK- ja Kiertoratkaisu-osiot saadaksesi tietoja siitä, kuinka voit suojata järjestelmääsi tältä haavoittuvuudella.

Hyödynnettävyysarviossaan he huomauttavat, että he ovat jo havainneet hyväksikäyttöjä.

Microsoft tarjoaa seuraavan kiertotavan, joka kuitenkin poistaa taustatulostuksen käytöstä:

Selvitä, onko taustatulostuspalvelu käynnissä (toimialueen järjestelmänvalvojana)

Suorita seuraava verkkotunnuksen järjestelmänvalvojana:

Get-Service -Name Spooler

Jos taustatulostus on käynnissä tai jos palvelua ei ole asetettu pois käytöstä, valitse jokin seuraavista vaihtoehdoista joko poistaaksesi taustatulostuspalvelun käytöstä tai poistaaksesi saapuvan etätulostuksen ryhmäkäytännön kautta:

Vaihtoehto 1 - Poista tulostustapapalvelu käytöstä

Jos Print Spooler -palvelun poistaminen käytöstä sopii yrityksellesi, käytä seuraavia PowerShell -komentoja:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Kiertotavan vaikutus Tulostustulostuspalvelun poistaminen käytöstä poistaa käytöstä sekä paikallisen että etätulostuksen.

Vaihtoehto 2 – Poista saapuvan etätulostus käytöstä ryhmäkäytännön kautta

Voit myös määrittää asetukset ryhmäkäytännön kautta seuraavasti:

Tietokoneen kokoonpano / Hallintamallit / tulostimet

Poista käytöstä "Salli tulostustulostuksen hyväksyä asiakasyhteydet:" -käytäntö estääksesi etähyökkäykset.

Kiertotavan vaikutus Tämä käytäntö estää etähyökkäysvektorin estämällä saapuvat etätulostustoiminnot. Järjestelmä ei enää toimi tulostuspalvelimena, mutta paikallinen tulostus suoraan liitettyyn laitteeseen on edelleen mahdollista.

Lue kaikki yksityiskohdat Microsoftilta tätä.