Microsoft сподели информация за Windows PrintNightmare.
Microsoft предостави ръководство и насоки, за да блокира атаки срещу системи, уязвимости на експлойти, насочени към уязвимостта на Windows Print Spooler, известна като PrintNightmare.
Това отдалечено изпълнение на код (RCE) - сега се проследява като CVE-2021-34527 –засяга всички версии на Windows за Microsoft, като компанията все още проучва дали уязвимостта е от тях.
CVE-2021-34527 позволява на нападателите да поемат контрол върху засегнатите сървъри чрез дистанционно изпълнение на кода, който позволява да бъдат инсталирани програми, да се преглеждат, променят или изтриват данни и да се създават нови акаунти с пълните права на потребителя.
При активна експлоатация
В новоиздаден съвет компанията добави, че PrintNightmare вече е експлоатиран. Microsoft не сподели кой стои зад откритата експлоатация (участници в заплахата или изследователи на сигурността).
В доклад за анализ на заплахи за клиентите на Microsoft 365 Defender, видян от BleepingComputer, Microsoft споделя, че нападателите активно използват PrintNightmare.
В момента няма налични актуализации за защита, които да отстраняват PrintNightmare, като Microsoft разследва проблема и работи по поправката му.
Microsoft също така премахна объркването около грешката, като каза, че е подобна, но се различава от уязвимостта, която е присвоена от CVE-2021-1675, която беше пачната през юни.
Клиентите на Microsoft 365 Defender могат също да се обърнат към отчета за анализ на заплахите, който беше публикуван относно тази уязвимост. Докладът предоставя технически подробности, насоки за смекчаване на въздействието на тази заплаха и разширени заявки.
Налични смекчаващи мерки
На 07 юли, Microsoft публикува актуализация за защита за Windows Server 2012, Windows Server 2016 и Windows 10, Версия 1607. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527. Препоръчваме ви да инсталирате тези актуализации незабавно. Ако не можете да инсталирате тези актуализации, вижте вариантите за деактивиране:
Вариант 1 - Деактивирайте услугата Print Spooler
Ако деактивирането на услугата Print Spooler е подходящо за вашето предприятие, използвайте следните команди на PowerShell:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Вариант 2 - Деактивирайте входящия отдалечен печат чрез групови правила
Можете също да конфигурирате настройките чрез групови правила, както следва: Компютърна конфигурация / Административни шаблони / Принтери
Деактивирайте политиката „Разрешаване на Print Spooler да приема клиентски връзки:", за да блокира отдалечени атаки.
Съгласно предишните препоръки на Microsoft за намаляване на рисковете на домейн контролерите с работеща услуга за буфер на печат, услугата трябва да бъде деактивирана на всички администратори на домейни и администраторски системи на Active Directory чрез групова политика поради увеличен риск от атаки.
Тъй като тази услуга е разрешена по подразбиране за повечето клиенти и сървърни платформи на Windows, рискът от бъдещи атаки, насочени активно към уязвими системи, е значителен.