Solução alternativa para a vulnerabilidade de execução remota de código do spooler de impressão do Windows
- Categoria: Janelas
Microsoft divulgado uma nova vulnerabilidade de execução remota de código no Windows recentemente que está usando o Windows Print Spooler. A vulnerabilidade é explorada ativamente e a Microsoft publicou duas soluções alternativas para proteger os sistemas de ataques.
As informações fornecidas são insuficientes, pois a Microsoft nem mesmo divulga as versões do Windows que são afetadas pelo problema de segurança. À primeira vista, parece afetar os controladores de domínio na maior parte, e não na maioria dos computadores domésticos, pois requer usuários remotos autenticados.
Atualizar : A Microsoft lançou atualizações fora da banda para lidar com a vulnerabilidade relacionada à impressão. Você encontra links para os patches em esta página da Microsoft . Fim
0Patch , que analisou o patch, sugere que o problema afeta predominantemente as versões do Windows Server, mas que os sistemas Windows 10 e os servidores não DC também podem ser afetados se forem feitas alterações na configuração padrão:
UAC (controle de conta de usuário) está completamente desativado
PointAndPrint NoWarningNoElevationOnInstall está ativado
O CVE oferece a seguinte descrição:
Existe uma vulnerabilidade de execução remota de código quando o serviço Windows Print Spooler executa incorretamente operações de arquivo com privilégios. Um invasor que explorar com êxito esta vulnerabilidade pode executar código arbitrário com privilégios SYSTEM. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou crie novas contas com direitos de usuário totais.
Um ataque deve envolver um usuário autenticado chamando RpcAddPrinterDriverEx ().
Certifique-se de ter aplicado as atualizações de segurança lançadas em 8 de junho de 2021 e consulte as seções Perguntas frequentes e solução alternativa neste CVE para obter informações sobre como ajudar a proteger seu sistema contra esta vulnerabilidade.
A Microsoft oferece duas sugestões: desabilitar o serviço Spooler de Impressão ou desabilitar a impressão remota de entrada usando a Política de Grupo. A primeira solução alternativa desativa a impressão, local e remota, no dispositivo. Pode ser uma solução em sistemas nos quais a funcionalidade de impressão não é necessária, mas não é realmente uma opção se a impressão for feita em um dispositivo. Você pode alternar o Spooler de impressão sob demanda, mas isso pode se tornar um incômodo rapidamente.
A segunda solução alternativa requer acesso à Política de Grupo, que está disponível apenas nas versões Pro e Enterprise do Windows.
Aqui estão as duas soluções alternativas:
Para desativar o spooler de impressão, faça o seguinte:
- Abra um prompt elevado do PowerShell, por exemplo usando Windows-X e selecionando Windows PowerShell (Admin).
- Execute Get-Service -Name Spooler.
- Execute Stop-Service -Name Spooler -Force
- Stop-Service -Name Spooler -Force
- Set-Service -Name Spooler -StartupType Desabilitado
O comando (4) interrompe o serviço Spooler de impressão, o comando (5) o desativa. Observe que você não poderá mais imprimir quando fizer as alterações (a menos que habilite o serviço Spooler de Impressão novamente.
Para desativar a impressão remota de entrada, faça o seguinte:
- Abra Iniciar.
- Digite gpedit.msc.
- Carregue o Editor de Política de Grupo.
- Vá para Configuração do computador / Modelos administrativos / Impressoras.
- Clique duas vezes em Permitir spooler de impressão para aceitar as conexões do cliente.
- Defina a política como Desabilitada.
- Selecione ok.
0Patch desenvolveu e publicou um micropatch que corrige o problema de execução remota de código do spooler de impressão. O patch foi criado para o Windows Server apenas na época, especificamente Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 e Windows Server 2019.