Закрываем уязвимость диспетчера очереди печати Windows (PrintNightmare)

Microsoft недавно расскрыла информацию о новой уязвимости удаленного выполнения кода в Windows, которая использует диспетчер очереди печати Windows. Уязвимость активно эксплуатируется, и поэтому компания опубликовала сразу два предварительных решения для защиты систем от атак, использующих данную уязвимость.

Известно, что уязвимость CVE-2021-34527 (PrintNightmare) затрагивает как серверные операционные системы, такие как Windows Server 2008, 2012, в том числе Windows Server 2016, так и десктопные версии Windows 7 SP1, Windows 8.1, Windows 10 1809 и выше, в том числе Windows 10 21H1.

Компания Acros Security, разработчик 0patch Agent для Windows, проанализировав уязвимость, предположила, что проблема затрагивает преимущественно серверные версии Windows Server. Однако, уязвимость может также затрагивать и десктопные версии Windows 10 и серверные версии Windows Server без DC (контроллер доменов), при условии внесения следующих изменений в конфигурацию по умолчанию:

UAC (контроль учетных записей) полностью отключен
PointAndPrint NoWarningNoElevationOnInstall включен

Описание уязвимости CVE-2021-34527 (PrintNightmare):

Уязвимость удаленного выполнения кода эксплуатируется в случаях, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с правами SYSTEM. После этого злоумышленник может установливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя.

Атака вовлекает аутентифицированного пользователя, вызывающего RpcAddPrinterDriverEx ().

Убедитесь, что вы применили обновления безопасности, выпущенные от 8 июня 2021 г., и просмотрите разделы часто задаваемых вопросов и временное решение в этом описании уязвимости, чтобы узнать, как защитить вашу систему от этой уязвимости.

Microsoft предлагает два решения: отключение службы диспетчера очереди печати и отключение входящей удаленной печати с помощью групповой политики. Первое решение отключает локальную и удаленную печать на устройстве. Решение подойдет для случаев, когда функция печати не требуется и не подойдет для случаев, если функция печати используется на устройстве. Вы можете включить диспетчер очереди печати по запросу, но данное решение не удобно.

В качестве второго решения требуется доступ к редактору групповой политики, который доступнен только в версиях Windows Pro и Enterprise.

Два решения для закрытия уязвимости CVE-2021-34527 (PrintNightmare)

Отключение диспетчер очереди печати

Чтобы отключить диспетчер очереди печати, выполните следующие рекомендации:

• Откройте PowerShell с повышенными привилегиями, например, используя сочитание клавиш Win+X и из выпадающего списка выберите Windows PowerShell (Администратор).
• Поочередно запустите следующие команды:

Get-Service -Name Spooler

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Последние две команда останавливают службу диспетчера очереди печати и отключают её.

Второе решение – отключение службы входящей удаленной печати с помощью редактора групповой политики

Чтобы отключить входящую удаленную печать, выполните следующие рекомендации:

• Нажмите сочетание клавиш Windows+R, чтобы открыть окно команды «Выполнить».
• Введите gpedit.msc и нажмите ОК.
• В открывшемся Редакторе групповой политики перейдите по следующему пути: Конфигурация компьютера / Административные шаблоны / Принтеры
• Два раза нажмите на политику Разрешить очереди печати принтера прием клиентских подключений.
• Установите для политики значение Отключено.
• Нажмите на кнопку Применить.

0Patch разработали и опубликовали микропатч, который устраняет проблему удаленного выполнения кода диспетчера очереди печати. Однако исправление было создано только для серверных версий Windows Server, в частности для Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 и Windows Server 2019.