Как да смекчим уязвимостта на Microsoft Print Spooler – PrintNightmare

тази седмица, кошмарен принт Уязвимостта на Microsoft Print Spooler (CVE-2021-34527) е надстроена от „ниска“ на „критична“.

Това се дължи на доказателство за концепция, публикувано в GitHub, от което нападателите могат да се възползват, за да получат достъп до контролери на домейни.

каквито сме Споменах по-раноMicrosoft вече пусна кръпка през юни 2021 г., но това не беше достатъчно, за да спре експлоатите. Атакуващите все още могат да използват спулера за печат, когато се свързват отдалечено. Можете да намерите всичко, което трябва да знаете за тази уязвимост в тази статия и как можете (и можете) да я смекчите.

Отпечатайте макара накратко: Print Spooler е услуга на Microsoft за управление и наблюдение на печат на файлове. Тази услуга е сред най-старите услуги на Microsoft и има минимални актуализации за поддръжка от пускането си.

Тази функция е активирана по подразбиране на всяко устройство на Microsoft (сървъри и крайни точки).

Кошмарна грешка: След като атакуващият получи ограничен потребителски достъп до мрежата, той ще може да се свърже (директно или отдалечено) със спулера за печат. Тъй като Print Spooler има директен достъп до ядрото, нападателят може да го използва, за да получи достъп до операционната система, да стартира отдалечен код със системни привилегии и в крайна сметка да атакува контролера на домейна.

Най-добрият вариант, когато става въпрос за смекчаване на уязвимостта на PrintNightmare, е да деактивирате спулера за печат на всеки чувствителен сървър и / или работна станция (като работни станции на администратор, работни станции, работещи в интернет, и непечатащи работни станции).

Това е това, което Dvir Gorin, експерт по укрепване и ръководител на технологиите в فعله Софтуерни решения на CalCom, предлага като първа стъпка към смекчаване.

Следвайте тези стъпки, за да деактивирате услугата Print Spooler в Windows 10:

1. Отворете менюто „Старт“.
2. Намерете PowerShell, щракнете с десния бутон върху него и изберете Изпълни като администратор.
3. Въведете командата и натиснете Enter: стоп услуга – кеширане на имена – сила
4. Използвайте тази команда, за да предотвратите повторното стартиране на услугата по време на рестартиране: Set-Service -Name Spooler -StartupType Disabled

Според опита на Dvir, 90% от сървърите не се нуждаят от Print Spooler. Това е конфигурацията по подразбиране за повечето от тях, така че обикновено е активирана. В резултат на това деактивирането му може да реши 90% от проблема ви и да окаже малко влияние върху производството.

При големи и сложни инфраструктури може да е трудно да се реши къде да се използва спулера за печат.

Ето няколко примера, които изискват буфер за печат:

1. Когато използвате Citrix Services,
2. факс сървъри,
3. Всяко приложение, което изисква виртуален или физически печат на PDF, XPS и др. Услуги за таксуване и приложения за заплащане, напр.

Ето няколко примера, когато буферът за печат не е необходим, но е активиран по подразбиране:

1. Контролер на домейни и Active Directory – Основният риск в тази уязвимост може да бъде неутрализиран чрез практикуване на основна кибер хигиена. Няма смисъл да активирате Print Spooler на DC и AD сървъри.
2. Членски сървъри като SQL, файлова система и Exchange сървъри.
3. Машини, които не изискват печат.

Някои други стъпки за втвърдяване, предложени от Dvir за устройства, базирани на Print Spooler, включват:

1. Заменете уязвимия спулер за печат с услуга, която не е на Microsoft.
2. Чрез промяна на „Разрешаване на спулера за печат да приема клиентски връзки“, можете да ограничите достъпа на потребители и драйвери до спулера за печат до групите, които те трябва да използват.
3. Деактивирайте онлайн спулера за печат в групата за съвместимост преди Windows 2000.
4. Уверете се, че Point and Print не е конфигуриран на No Warning – проверете ключа на системния регистър SOFTWARE / Policies / Microsoft / Windows NT / Printers / PointAndPrint / NoElevationOnInstall за стойността DWORD 1.
5. Изключете EnableLUA Проверете ключа на системния регистър SOFTWARE / Microsoft / Windows / CurrentVersion / Policies / System / EnableLUA за DWORD стойност 0.

Ето какво трябва да направите след това, за да сте сигурни, че вашата организация е в безопасност:

1. Определете къде да използвате спулера за печат във вашата мрежа.
2. Настройте мрежата си да намира кои устройства да използват Спулер за печат.
3. Деактивирайте спулера за печат на устройства, които не използвате.
4. За устройства, които изискват Print Spooler – конфигурирайте ги по начин, който намалява повърхността на атака.

Освен това, за да намерите възможни доказателства за експлоата, трябва също да наблюдавате записите в системния регистър на Microsoft-Windows-PrintService / Admin. Възможно е да има записи със съобщения за грешка, показващи, че Print Spooler не може да зареди допълнителни DLL модули, въпреки че това може да се случи, ако нападателят пакетира легитимна DLL, която изисква Print Spooler.

Последната препоръка на Dvir е да изпълни тези препоръки чрез Инструменти за автоматизация на втвърдяване. Без автоматизация бихте прекарали безброй часове, опитвайки се да се втвърдите ръчно и може да се окажете с уязвимости или да доведе до срив на системите.

След като изберете начина си на действие, a Инструмент за автоматизация на втвърдяване Той ще открие къде е активиран буферът за печат, къде вече се използва и ще го деактивира или преконфигурира автоматично.