Solució alternativa per a la vulnerabilitat d'execució de codi remot de Windows Print Spooler
- Categoria: Windows
Microsoft divulgat una nova vulnerabilitat d'execució de codi remot al Windows recentment que utilitza el Windows Print Spooler. La vulnerabilitat s’explota activament i Microsoft va publicar dues solucions alternatives per protegir els sistemes d’atacs.
La informació proporcionada és insuficient, ja que Microsoft ni tan sols revela les versions de Windows afectades pel problema de seguretat. Pel que sembla, sembla afectar en gran part els controladors de domini i no la majoria dels equips domèstics, ja que requereix usuaris autenticats remots.
Actualització : Microsoft va publicar actualitzacions fora de banda per solucionar la vulnerabilitat relacionada amb la impressió. Trobareu enllaços als pedaços a aquesta pàgina de Microsoft . Final
0 Pegat , que han analitzat el pedaç, suggereixen que el problema afecta principalment les versions de Windows Server, però que també es poden veure afectats els sistemes Windows 10 i els servidors que no són de CC si s'han fet canvis a la configuració predeterminada:
UAC (User Account Control) està completament desactivat
PointAndPrint NoWarningNoElevationOnInstall està habilitat
El CVE ofereix la següent descripció:
Existeix una vulnerabilitat d'execució de codi remot quan el servei Windows Print Spooler realitza incorrectament operacions de fitxers privilegiades. Un atacant que hagi explotat amb èxit aquesta vulnerabilitat podria executar codi arbitrari amb privilegis de SISTEMA. Un atacant podria instal·lar programes; visualitzar, canviar o suprimir dades; o bé creeu comptes nous amb drets d'usuari complets.
Un atac ha de comportar un usuari autenticat que crida a RpcAddPrinterDriverEx ().
Assegureu-vos que heu aplicat les actualitzacions de seguretat publicades el 8 de juny de 2021 i consulteu les seccions de preguntes freqüents i solucions d’aquest CVE per obtenir informació sobre com protegir el vostre sistema contra aquesta vulnerabilitat.
Microsoft proporciona dos suggeriments: per desactivar el servei de cola d'impressió o per desactivar la impressió remota entrant mitjançant la política de grup. La primera solució inhabilita la impressió, local i remota, al dispositiu. Pot ser una solució en sistemes en què no es requereixi la funcionalitat d’impressió, però en realitat no és una opció si s’imprimeix en un dispositiu. Podeu canviar el Spooler d’impressió si ho desitgeu, però això pot convertir-se en molèstia ràpidament.
La segona solució requereix accés a la política de grup, que només està disponible a les versions Pro i Enterprise de Windows.
A continuació, es detallen totes dues solucions:
Per desactivar el spooler d'impressió, feu el següent:
- Obriu una sol·licitud de PowerShell elevada, p. Ex. mitjançant Windows-X i seleccionant Windows PowerShell (administrador).
- Executeu Get-Service -Name Spooler.
- Executeu Stop-Service -Name Spooler -Force
- Stop-Service -Name Spooler -Force
- Set-Service -Name Spooler -StartupType desactivat
L'ordre (4) atura el servei de cola d'impressió, l'ordre (5) el desactiva. Tingueu en compte que ja no podreu imprimir quan feu els canvis (tret que torneu a habilitar el servei Imprimeix Spooler.
Per desactivar la impressió remota entrant, feu el següent:
- Obre Inici.
- Escriviu gpedit.msc.
- Carregueu l'Editor de polítiques de grup.
- Aneu a Configuració de l’ordinador / Plantilles administratives / Impressores.
- Feu doble clic a Permet que el Spooler d'impressió accepti les connexions del client.
- Establiu la política a Desactivat.
- Selecciona bé.
0Patch ha desenvolupat i publicat un micropatch que soluciona el problema d'Execució de codi remot de Spooler d'impressió. El pedaç s’ha creat només per al Windows Server en aquell moment, concretament el Windows Server 2008 R2, el Windows Server 2021, el Windows Server 2016 i el Windows Server 2019.