Обходной путь для уязвимости диспетчера очереди печати Windows, связанной с удаленным выполнением кода

Попробуйте наш инструмент устранения неполадок

Microsoft раскрыт недавно появилась новая уязвимость удаленного выполнения кода в Windows, использующая диспетчер очереди печати Windows. Уязвимость активно используется, и Microsoft опубликовала два обходных пути для защиты систем от атак.

Предоставленной информации недостаточно, поскольку Microsoft даже не раскрывает версии Windows, затронутые проблемой безопасности. Судя по всему, это по большей части влияет на контроллеры домена, а не на большинство домашних компьютеров, поскольку для этого требуются удаленные аутентифицированные пользователи.

Обновлять : Microsoft выпустила дополнительные обновления для устранения уязвимости, связанной с печатью. Вы найдете ссылки на патчи на эта страница Microsoft . Конец

0 Патч , которые проанализировали исправление, предполагают, что проблема в основном затрагивает версии Windows Server, но что системы Windows 10 и серверы без DC также могут быть затронуты, если были внесены изменения в конфигурацию по умолчанию:

UAC (User Account Control) полностью отключен
PointAndPrint NoWarningNoElevationOnInstall включен

CVE предлагает следующее описание:

Уязвимость удаленного выполнения кода существует, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с правами SYSTEM. После этого злоумышленник может установить программы; просматривать, изменять или удалять данные; или создайте новые учетные записи с полными правами пользователя.

Атака должна вовлекать аутентифицированного пользователя, вызывающего RpcAddPrinterDriverEx ().

Убедитесь, что вы применили обновления безопасности, выпущенные 8 июня 2021 г., и просмотрите разделы часто задаваемых вопросов и временное решение в этом CVE, чтобы узнать, как защитить вашу систему от этой уязвимости.

Microsoft предлагает два предложения: отключить службу диспетчера очереди печати или отключить входящую удаленную печать с помощью групповой политики. Первый обходной путь отключает локальную и удаленную печать на устройстве. Это может быть решение для систем, в которых функция печати не требуется, но на самом деле это не вариант, если печать выполняется на устройстве. Вы можете включить диспетчер очереди печати по запросу, но это быстро может стать неприятностью.

Для второго обходного пути требуется доступ к групповой политике, которая доступна только в версиях Windows Pro и Enterprise.

Вот оба обходных пути:

уязвимость удаленной печати Windows

Чтобы отключить диспетчер очереди печати, сделайте следующее:

  1. Откройте командную строку PowerShell с повышенными привилегиями, например с помощью Windows-X и выбора Windows PowerShell (администратор).
  2. Запустите Get-Service -Name Spooler.
  3. Запустите Stop-Service -Name Spooler -Force
  4. Stop-Service -Name Spooler -Force
  5. Set-Service -Name Spooler -StartupType отключено

Команда (4) останавливает службу диспетчера очереди печати, команда (5) отключает ее. Обратите внимание, что после внесения изменений вы больше не сможете печатать (если снова не включите службу диспетчера очереди печати).

разрешить диспетчеру очереди печати принимать клиентские подключения

Чтобы отключить входящую удаленную печать, сделайте следующее:

  1. Откройте Пуск.
  2. Введите gpedit.msc.
  3. Загрузите редактор групповой политики.
  4. Перейдите в Конфигурация компьютера / Административные шаблоны / Принтеры.
  5. Дважды щелкните Разрешить диспетчеру очереди печати принимать клиентские подключения.
  6. Установите для политики значение Отключено.
  7. Выберите ОК.

0Patch разработал и опубликовал микропатч это устраняет проблему удаленного выполнения кода диспетчера очереди печати. В то время исправление было создано только для Windows Server, в частности для Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 и Windows Server 2019.