最近,微软警告Windows用户称,Windows Print Spooler未修复的服务存在严重漏洞。
认为漏洞已经修复,意外披露PoC
这个被称为“PrintNightmare”安全研究人员意外发布概念验证的漏洞(PoC)本周早些时候发现了漏洞。虽然微软还没有发现这个漏洞。CVSS但它允许攻击者在系统级权限下远程执行任何代码。
此前,与微软的沟通可能存在问题,导致网络安全公司的研究人员发布了漏洞的概念验证代码(PoC),错误地认为它已经被视为CVE-2021-1675部分修复,零日漏洞意外披露。虽然概念验证代码很快从Github不幸的是,该项目在此之前已被复制。
几天后,微软终于发布了关于零日漏洞的警报。该公司甚至警告用户PrintNightmare漏洞正在被广泛利用。由于该漏洞允许攻击者以系统权限运行任意代码,因此成功利用该漏洞的不法分子可以安装程序、处理数据或创建具有完全用户权限的新账户。
微软也承认,PrintNightmare影响所有Windows版本中的Windows Print Spooler,包括安装在个人计算机、企业网络中Windows服务器和域控制器上的版本尚不清楚它是否可以在那里Windows使用以外的服务器版本。
微软建议禁用 Windows Print Spooler 服务
微软目前正在开发补丁,但有证据表明 PoC 漏洞已被使用。企业和企业用户最容易受到攻击,但普通用户也可能面临风险。该公司建议在使用补丁之前禁止 Windows Print Spooler 服务。
如果停止所有打印是不现实的,网络管理员可以使用小组策略禁止远程打印,这样即使打印服务器任务中断,至少可以提供本地打印服务。
但一般用户需要使用Powershell命令关闭它,这将保护你的 PC 免受任何 PrintNightmare 威胁:
- 使用任务栏或Windows开始菜单搜索“Powershell”;
- 右键单击Powershell并选择“作为管理员运行”;
- 在Powershell在提示符下,禁止下列命令Windows Print Spooler:
- Stop-Service-NameSpooler-Force
- 然后操作以下命令以防止Windows启动时重启 Print Spooler 服务:
- Set-Service-NameSpooler-StartupTypeDisabled
在微软发布补丁并完成安全更新后,您可以使用以下两个命令Powershell 中重新启用Print Spool 服务:
此外,网络安全和基础设施安全局(CISA)建议管理员“禁用 Windows Print Spooler 服务”。
多年来,Windows Print Spooler 服务中的漏洞一直是系统管理员头疼的问题。最臭名昭著的例子是震网(Stuxnet)病毒。十多年前,Stuxnet 使用多个0-day 漏洞,包括Windows Print Spooler几台伊朗核离心机被破坏。