Trang chủ » TheHackerNews » Cách khắc phục lỗ hổng Microsoft Print Spooler – PrintNightmare
TheHackerNews

Cách khắc phục lỗ hổng Microsoft Print Spooler – PrintNightmare

Tháng Bảy 8, 2021
4 Views

Tuần này, PrintNightmare – Lỗ hổng Print Spooler của Microsoft (CVE-2021-34527) đã được nâng cấp từ mức độ nghiêm trọng “Thấp” lên mức độ nghiêm trọng “Critical”.

Điều này là do Bằng chứng về khái niệm được xuất bản trên GitHub, mà những kẻ tấn công có thể tận dụng để giành quyền truy cập vào Bộ điều khiển miền.

Như chúng ta báo cáo trước đó, Microsoft đã phát hành một bản vá vào tháng 6 năm 2021, nhưng nó không đủ để ngừng khai thác. Những kẻ tấn công vẫn có thể sử dụng Print Spooler khi kết nối từ xa. Bạn có thể tìm thấy tất cả những gì bạn cần biết về lỗ hổng này trong bài viết này và cách bạn có thể giảm thiểu nó (và bạn có thể).

Tóm lại Print Spooler: Print Spooler là dịch vụ của Microsoft để quản lý và giám sát việc in tệp. Dịch vụ này là một trong những dịch vụ lâu đời nhất của Microsoft và đã có các bản cập nhật bảo trì tối thiểu kể từ khi nó được phát hành.

Mọi máy Microsoft (máy chủ và thiết bị đầu cuối) đều có tính năng này được bật theo mặc định.

Lỗ hổng PrintNightmare: Ngay khi kẻ tấn công có được quyền truy cập giới hạn của người dùng vào mạng, kẻ đó sẽ có thể kết nối (trực tiếp hoặc từ xa) với Print Spooler. Vì Print Spooler có quyền truy cập trực tiếp vào hạt nhân nên kẻ tấn công có thể sử dụng nó để truy cập vào hệ điều hành, chạy mã từ xa với các đặc quyền của hệ thống và cuối cùng là tấn công Domain Controller.

Lựa chọn tốt nhất của bạn khi nói đến việc giảm thiểu lỗ hổng PrintNightmare là vô hiệu hóa Print Spooler trên mọi máy chủ và / hoặc máy trạm nhạy cảm (chẳng hạn như máy trạm của quản trị viên, máy trạm tiếp xúc trực tiếp với internet và máy trạm không in).

Đây là những gì Dvir Goren, chuyên gia về độ cứng và CTO tại Giải pháp phần mềm CalCom, gợi ý là động thái đầu tiên của bạn hướng tới giảm thiểu.

Làm theo các bước sau để tắt dịch vụ Print Spooler trên Windows 10:

  1. Mở Bắt đầu.
  2. Tìm kiếm PowerShell, nhấp chuột phải vào nó và chọn Run as administrator.
  3. Nhập lệnh và nhấn Enter: Stop-Service -Name Spooler -Force
  4. Sử dụng lệnh này để ngăn dịch vụ bắt đầu sao lưu lại trong khi khởi động lại: Set-Service -Name Spooler -StartupType Disabled

Theo kinh nghiệm của Dvir, 90% máy chủ không yêu cầu Print Spooler. Đây là cấu hình mặc định cho hầu hết chúng, vì vậy nó thường được kích hoạt. Do đó, vô hiệu hóa nó có thể giải quyết 90% vấn đề của bạn và ít ảnh hưởng đến sản xuất.

Trong các cơ sở hạ tầng lớn và phức tạp, việc xác định vị trí sử dụng Print Spooler có thể là một thách thức.

Dưới đây là một số ví dụ mà Print Spooler được yêu cầu:

  1. Khi sử dụng dịch vụ Citrix,
  2. Máy chủ fax,
  3. Ví dụ: bất kỳ ứng dụng nào yêu cầu in ảo hoặc vật lý các tệp PDF, XPS, v.v. Dịch vụ thanh toán và ứng dụng tiền lương.

Dưới đây là một số ví dụ khi Print Spooler không cần thiết nhưng được bật theo mặc định:

  1. Bộ điều khiển miền và Thư mục hoạt động – rủi ro chính trong lỗ hổng này có thể được hóa giải bằng cách thực hành vệ sinh mạng cơ bản. Không có ý nghĩa gì khi bật Print Spooler trong các máy chủ DC và AD.
  2. Máy chủ thành viên như máy chủ SQL, Hệ thống tệp và máy chủ Exchange.
  3. Máy không yêu cầu in.

Một số bước làm cứng khác do Dvir đề xuất cho các máy phụ thuộc vào Print Spooler bao gồm:

  1. Thay thế giao thức Print Spooler dễ bị tấn công bằng một dịch vụ không phải của Microsoft.
  2. Bằng cách thay đổi ‘Cho phép Print Spooler chấp nhận các kết nối máy khách’, bạn có thể hạn chế quyền truy cập của người dùng và trình điều khiển vào Print Spooler cho các nhóm phải sử dụng nó.
  3. Tắt trình gọi Print Spooler trong nhóm tương thích trước Windows 2000.
  4. Đảm bảo rằng Point and Print không được định cấu hình thành No Warning – kiểm tra key registry SOFTWARE / Policies / Microsoft / Windows NT / Printers / PointAndPrint / NoElevationOnInstall cho giá trị DWORD 1.
  5. Tắt EnableLUA – kiểm tra key registry SOFTWARE / Microsoft / Windows / CurrentVersion / Policies / System / EnableLUA cho giá trị DWORD 0.

Đây là những gì bạn cần làm tiếp theo để đảm bảo tổ chức của bạn được an toàn:

  1. Xác định vị trí Print Spooler đang được sử dụng trên mạng của bạn.
  2. Lập bản đồ mạng của bạn để tìm các máy phải sử dụng Print Spooler.
  3. Tắt Print Spooler trên các máy không sử dụng nó.
  4. Đối với các máy yêu cầu Print Spooler – hãy cấu hình chúng theo cách để giảm thiểu bề mặt tấn công của nó.

Bên cạnh đó, để tìm bằng chứng có thể bị khai thác, bạn cũng nên theo dõi các mục nhật ký Microsoft-Windows-PrintService / Admin. Có thể có các mục nhập có thông báo lỗi cho biết Print Spooler không thể tải DLL của mô-đun plug-in, mặc dù điều này cũng có thể xảy ra nếu kẻ tấn công đóng gói một DLL hợp pháp mà Print Spooler yêu cầu.

Khuyến nghị cuối cùng từ Dvir là thực hiện các khuyến nghị này thông qua làm cứng các công cụ tự động hóa. Nếu không có tự động hóa, bạn sẽ mất vô số giờ để cố gắng làm cứng theo cách thủ công và cuối cùng có thể dễ bị tổn thương hoặc khiến hệ thống hoạt động

Sau khi chọn cách hành động của bạn, Công cụ tự động hóa cứng sẽ khám phá nơi bật Print Spooler, nơi chúng thực sự được sử dụng và tự động tắt hoặc cấu hình lại chúng.

Content Protection by DMCA.com

Từ khoá:

Các bài liên quan
© Từ 2020 | GenVerge
Trang thông tin cho tín đồ công nghệ Việt Nam
Chính sách Bảo Mật & quyền Riêng Tư
Mạng lưới
GenVerge | Trang thông tin dành cho tín đồ công nghệ Việt Nam
Logo
Đăng ký
Liên hệ Admin để kích hoạt tài khoản Cộng Tác Viên
Quên mật khẩu