Microsoft on julkaissut sarjan lieventämistoimenpiteitä nollapäivän hyväksikäyttöä vastaan. Teknologiayritys sanoo, että "hyökkääjät hyödyntävät aktiivisesti".
Nollapäivän hyväksikäyttö, joka tunnetaan nimellä Tulosta Nightmare, hyödyntää Windows Print Spoolerin haavoittuvuutta ja voi antaa hyökkääjän suorittaa koodin etäyhteyden kautta.
Vaikka PrintNightmare-ohjelmalle ei ole erityistä korjausta, Microsoftin neuvonta sisältää kaksi vaihtoehtoa, joita käyttäjät voivat käyttää suojaamaan järjestelmäänsä mahdollisesti vaaralliselta hyväksikäytöltä.
PrintNightmare Onko tulostustyö helvetistä
Spooler on Windows-ohjelmistopalvelu, joka hallitsee järjestelmän tulostusprosesseja. Kun painat tulostusta, taustatulostin ottaa saapuvan tulostustyön ohjelmistolta (tai käyttöjärjestelmästä) ja varmistaa, että tulostin ja sen resurssit (paperi, muste jne.) Ovat toimintavalmiita. Kun lähetät useita tulostustöitä, taustatulostus jonottaa ne ja hallitsee tulostimen ulostuloa.
Taustatulostuspalvelulla on pääsy koko järjestelmään. Vaikka se kuulostaa harmittomalta, se voi tehdä tällaisesta palvelusta kohteeksi hyökkääjät, jotka haluavat hyökätä resursseille järjestelmän laajuisilla oikeuksilla.
Tässä tapauksessa kiinalainen turvallisuusyhtiö Sangfor on vahingossa julkaissut todistuksen käsitteestä nollapäivän hyökkäys sen GitHub-sivulle. Yritys veti koodin välittömästi, mutta ei ennen kuin se haarautui ja kopioitiin luonnoon.
PrintNightmare, seurataan nimellä CVE-2021-34527, on koodin suorittamisen etäheikkous. Tämä tarkoittaa sitä, että jos hyökkääjä hyödyntää haavoittuvuutta, hän voi teoriassa suorittaa haitallista koodia kohdejärjestelmässä. Vaikka sinäkin saatat olla pääkohde tällaiselle hyödyntämiselle, miljardit tietokoneet ja palvelimet käyttävät maailmanlaajuisesti Microsoft Print Spooleria, minkä vuoksi PrintNightmare aiheuttaa tällaisia ongelmia.
Liittyvät: Paras ilmainen virustorjuntaohjelma
Microsoft neuvoo varovasti poistamaan Tulostus taustat -palvelun käytöstä
Kunnes tietty korjaus löytyy, Microsoft neuvoo Käyttäjät, yritykset ja organisaatiot voivat poistaa Spooler-palvelun käytöstä palvelimella, joka ei vaadi sitä.
Organisaatiot voivat poistaa Spooler-palvelun käytöstä kahdella tavalla: PowerShellin tai ryhmäkäytännön kautta.
PowerShell
- Avata PowerShell.
- Tulo Stop-Service -Nimi-taustat -Force
- Tulo Set-Service -Nime Spooler -StartupType ei käytössä
Ryhmäpolitiikka
- Avaa Ryhmäkäytäntöeditori(gpedit.msc)
- Selaa Tietokoneen kokoonpano / hallintamallit / tulostimet
- Etsi Anna Print Spoolerin hyväksyä asiakasyhteyksiä käytäntö
- Asetettu Poista käytöstä> Käytä
Microsoft ei ole ainoa organisaatio, joka neuvoo käyttäjiä kytkemään tulostuksen taustatulostuspalvelut pois päältä mahdollisuuksien mukaan. Myös CISA vapautettu lausunto, joka neuvoo vastaavaa käytäntöä ja kannustaa "järjestelmänvalvojia poistamaan Windows Print -taustatietopalvelu käytöstä toimialueen ohjaimissa ja järjestelmissä, jotka eivät tulosta".
Vaikka Microsoft julkaisee tämän neuvon uudelleen PrintNightmareen liittyen, yritys neuvoo tätä käytäntöä aina suojaamaan odottamattomilta tunkeutumisilta tämän menetelmän avulla. Print Spool -palvelun kytkeminen pois päältä ryhmäkäytännön avulla on paras tapa varmistaa koko toimialueen turvallisuus.
Tutustu yleisiin haittaohjelmatyyppeihin ja niiden eroihin, jotta voit ymmärtää, miten virukset, troijalaiset ja muut haittaohjelmat toimivat.
Lue seuraava
- Windows
- Tech News
- Tulostaminen
- Haittaohjelma
- Takaovi
Gavin on Windows and Technology Explained -ohjelman nuorempi toimittaja, säännöllisesti osallistuja todella hyödylliseen podcastiin ja säännöllinen tuotearvostelija. Hänellä on BA (Hons) nykykirjoittaminen digitaalisilla taidekäytännöillä, jotka on ryöstetty Devonin kukkuloilta, sekä yli kymmenen vuoden ammattikirjoittamisen kokemus. Hän nauttii runsaasta määrästä teetä, lautapelejä ja jalkapalloa.
Tilaa uutiskirjeemme
Liity uutiskirjeeseemme, jossa on teknisiä vinkkejä, arvosteluja, ilmaisia e-kirjoja ja erikoistarjouksia!
Vielä yksi askel !!!
Vahvista sähköpostiosoitteesi juuri lähettämässäsi sähköpostiviestissä.