Hogyan kerülhető el a Windows ‘PrintNightmare’ biztonsági fenyegetése

A Microsoft figyelmeztet egy potenciálisan jelentős, nulla napos biztonsági hibára a Windows Print Spooler kódjában. Bár a Microsoft nem azonosította a sérülékenység súlyosságát – „PrintNightmare” néven – hangzik elég rossz.

A vállalat szerint a külső felhasználók kihasználhatják a PrintNightmare programot a megnövelt rendszergazdai jogosultságok megszerzésére és a kód távoli végrehajtására. Más szavakkal, nyílt meghívás a hackerek számára, hogy szerezzenek irányítást a számítógép felett, és telepítsenek rosszindulatú programokat, ransomware programokat, ellopjanak vagy megsemmisítsenek fontos adatokat, és még sok minden mást, anélkül, hogy fizikai hozzáférést igényelnének a számítógéphez. Tudod, igazi fekete kalap.

A PrintNightmare hatással van a Windows Print Spoolerre a Windows összes verziójában, beleértve a személyi számítógépekre, a vállalati hálózatokra, a Windows szerverekre és a tartományvezérlőkre telepített verziókat is. Ami még rosszabb, hogy a PrintSpoolert már hackerek is aktívan kihasználják egy elgondolkodtató koncepciókon alapuló (PoC) támadás miatt.

A Sangfor biztonsági kutatói felfedezték a PrintNightmare kihasználását, valamint a Windows Print Spooler szolgáltatás számos más nulla napos hibáját. A csoport létrehozta a PoC kihasználásait a hibákról szóló közelgő előadás részeként. A kutatók úgy vélték, hogy a sebezhetőségeket már javították, és közzétették a Github-on.

Míg a Microsoft valójában egy friss biztonsági frissítésben javította a nulla napos nyomtatási tanúsító biztonsági rések egy részét, a PrintNightmare továbbra sem javított. Míg a Sangfar eredeti PringNightmare PoC már nincs a Githubon, a projektet megismételték, mielőtt lebontották volna.

A Microsoft szerint javítással dolgozik a PrintNightmare hiba kijavításán, de vannak bizonyítékok a PoC kihasználására. A vállalkozások és a vállalati felhasználók a legkiszolgáltatottabbak a kizsákmányolással szemben, de az általános felhasználók is veszélybe kerülhetnek. A Microsoft arra kéri a felhasználókat, hogy tiltsák le a Windows Print Spooler szolgáltatást a számítógépeiken.

A hálózati rendszergazdák csoportházirenddel letilthatják (és visszaállíthatják) a Windows Print Spooler programot és a távoli nyomtatást, de az általános felhasználóknak ki kell kapcsolniuk a Powershell parancsokkal, amelyek megvédi számítógépét a PrintNightmare fenyegetéseitől:

1. A kereséshez használja a tálcát vagy a Windows Start menüt – Powershell.
2. Jobb klikk Powershell és válassza ki „Futtatás rendszergazdaként.”
3. A Powershell parancssorban futtassa a következő parancsot a Windows Print Spooler letiltásához: Stop-Service -Name Spooler -Force
4. Ezután futtassa ezt a parancsot, hogy megakadályozza a Windows újraindítását a Print Spooler szolgáltatásokban: Set-Service -Name Spooler -StartupType Disabled

Tartsa kikapcsolva a Windows Print Spooler szolgáltatásait, amíg a Microsoft javítása valamikor a közeljövőben rendelkezésre nem áll és települ a számítógépére. Miután biztonságosan javítva van, újra engedélyezheti a Print Spool szolgáltatásokat a Powershellben a Set-Service -Name Spooler -StartupType Automatic és Start-Service -Name Spooler parancsokat.

[[A perem]