[ALERT8081] Windows PrintNightmare Távoli Parancs Futtatás (RCE) (CVE-2021-34527 / CVE-2021-1675)

Részletek

Mi az a PrintNightmare?

Az ESET 2021. július 2-án kezdett megkereséseket kapni a Windows PrintNightmare Távoli Parancs Futtatás (RCE) (CVE-2021-34527 / CVE-2021-1675) sérülékenységgel kapcsolatban. 

A PrintNightmare egy Távoli Parancs Futtatással (RCE) kapcsolatos biztonsági rés, amely a CVE-2021-34527-es és a CVE-2021-1675-ös sérülékenységekhez kötődik. Ez a sebezhetőség a Nyomtatási várólista szolgáltatást (Print Spooler - spoolsv.exe) érinti elsősorban.

Védelmet nyújt az ESET a PrintNightmare-rel szemben?

Az ESET bizonyos termékeinek konfigurációs beállításaival elháríthatja a PrintNightmare sérülékenységet kihasználó támadásokat anélkül, hogy a hálózati nyomtatás funkcionalitása csorbát szenvedne.

Az ESET vizsgálja a PrintNightmare RCE észlelésének lehetőségeit. Minden felhasználónak biztosítania kell, hogy az SMB portok (135-139, 445) ne legyenek elérhetőek az Internet felől.

Javasoljuk, hogy végezze el az alábbi ideiglenes elhárítási módszerek egyikét, amíg a Microsoft ki nem adja a sebezhetőséggel kapcsolatos javítását.

Az elhárítási javaslatok elvégzése a nyomtatás működésképtelenségét vonják maguk után

Vegye figyelembe, hogy az alábbi elhárítási lépések végrehajtását követően a nyomtatás nem fog működni.

A Spooler (Nyomtatási várólista) szolgáltatás letiltása
  1. Nyisson meg egy Rendszergazda jogosultsággal rendelkező Powershell ablakot.

  2. Gépelje be az alábbi parancsot, majd nyomja meg az Enter billentyűt.

    Stop-Service Spooler

  3. Gépelje be az alábbi parancsot is, majd nyomja meg ismét az Enter billentyűt.

    Reg Add "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v "Start" /t REG_DWORD /d "4" /f  


A Microsoft javításának kiadását követően a spooler (Nyomtatási várólista) szolgáltatást engedélyezni lehet a print (Nyomtatás) szolgáltatások telepítéséhez.
A Spooler (Nyomtatási várólista) szolgáltatás engedélyezése
  1. Nyisson meg egy Rendszergazda jogosultsággal rendelkező Powershell ablakot.

  2. Gépelje be az alábbi parancsot, majd nyomja meg az Enter billentyűt.

    Reg Add "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v "Start" /t REG_DWORD /d "2" /f

  3. Gépelje be az alábbi parancsot is, majd nyomja meg ismét az Enter billentyűt.

    Start-Service Spooler

A Microsoft soron kívüli biztonsági frissítések telepítését javasolja

Soron kívüli frissítések

Az alábbi, a Microsoft által 2021. július 6-án kiadott javítások nem küszöbölik ki teljesen a PrintNightmare sebezhetőséget, de csökkentik annak mértékét. Amíg a Microsoft nem ad ki új javítást, addig az operációs rendszerek továbbra is sérülékenyek lesznek a PrintNightmare-rel szemben.

Az alábbi listából válassza ki az operációs rendszerének megfelelő bejegyzést és kövesse az abban található utasításokat a soron kívüli frissítések telepítéséhez.
 
  • Windows 10, 21H1-es verzió (KB5004945)
  • Windows 10, 20H2-es verzió (KB5004945)
  • Windows 10, 2004-es verzió (KB5004945)
  • Windows 10, 1909-es verzió (KB5004946)
  • Windows 10, 1809-es verzió és Windows Server 2019 (KB5004947)
  • Windows 10, 1803-as verzió (KB5004949) [Még nem elérhető]
  • Windows 10, 1507-es verzió (KB5004950)
  • Windows 8.1 és Windows Server 2012 (Havi Kumulatív frissítés KB5004954 / csak Biztonsági frissítés KB5004958)
  • Windows 7 SP1 és Windows Server 2008 R2 SP1 (Havi Kumulatív frissítés KB5004953 / csak Biztonsági frissítés KB5004951)
  • Windows Server 2008 SP2 (Havi Kumulatív frissítés KB5004955 / csak Biztonsági frissítés KB5004959)

Legújabb frissítések

A Windows Server 2012, Windows Server 2016, és Windows 10 1607-es rendszerekhez tartozó biztonsági frissítések kiadásra kerültek. Javasoljuk, hogy haladéktalanul telepítse ezeket a frissítéseket

A rendszere biztonságának megőrzése érdekében ellenőrizze, hogy a következő beállításjegyzék-beállítások(registry beállítások) értéke "0" (zero) vagy "nincs megadva" (not defined). (Megjegyzés: Ezek a rendszerleíró kulcsok alapértelmezés szerint nem léteznek, ezért ha nem találja meg azokat, nincsen további teendője.)

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
  • NoWarningNoElevationOnInstall = 0 (DWORD) or not defined (default setting)
  • NoWarningNoElevationOnUpdate = 0 (DWORD) or not defined (default setting)
A Microsoft biztonsági frissítésről a Microsoft bejegyzésében olvashat bővebben.
 

További segítségnyújtás