图片来源:迭戈·切尔沃 - (Shutterstock)
微软最近发布了紧急补丁来修复Windows打印后台处理程序代码中被称为“PrintNightmare”的主要零日安全漏洞,但他们并没有解决这个问题。 安全研究人员发现,即使在修补程序之后,该漏洞仍然存在于多个版本的 Windows 上(通过科技雷达),使用户容易受到严重的网络安全威胁。
通过利用 PrintNightmare 漏洞,黑客可以控制 PC 并安装恶意软件、勒索软件、窃取或销毁重要数据等,而无需物理访问计算机。 你知道,真正的黑帽东西。
一些安全专家质疑该公司在发布补丁之前对补丁进行了适当的测试。 不管怎样,这对微软来说都是一个糟糕的结果,只会让 PrintNightmare 的灾难变成一场噩梦,让数百万台 Windows 设备面临风险。
什么是打印噩梦?
PrintNightmare 影响所有 Windows 版本中的 Windows Print Spooler,包括安装在个人计算机、企业网络、Windows 服务器和域控制器上的版本。 更糟糕的是,由于概念验证 (PoC) 攻击失败,黑客正在积极利用 PrintSpooler。
深信服的安全研究人员在 Windows Print Spooler 服务中发现了 PrintNightmare 漏洞以及其他几个零日漏洞。 该组织创建了 PoC 漏洞,作为即将发布的缺陷演示的一部分。 研究人员认为这些漏洞已经被修补并在 Github 上发布。
事实上,微软在之前的安全更新中修复了一些零日打印后台处理程序漏洞,但 PrintNightmare 尚未修复。 虽然深信服最初的 PringNightmare PoC 已不再出现在 Github 上,但该项目在被删除之前就被复制了,并且有证据表明 PoC 漏洞已被使用。
微软为所有受影响的 Windows 版本发布了紧急安全补丁,包括:
Windows 10
视窗8.1
Windows 7的
Windows RT 8.1
Windows Server 的多个版本
不幸的是,正如我们现在所知,这些补丁并不能起到深蹲的作用。 幸运的是,Windows Print Spooler 服务能暂时禁用以防止 PrintNightmare 攻击。
立即禁用 Window Print Spooler 服务
网络管理员可以使用组策略禁用(和恢复)Windows Print Spooler 和远程打印,但一般用户需要使用 Powershell 命令将其关闭,这将保护您的 PC 免受任何 PrintNightmare 威胁:
使用任务栏或 Windows 开始菜单搜索“电源外壳。”
右键单击 Powershell 并选择“以管理员身份运行。”
在 Powershell 提示符中,运行以下命令以禁用 Windows 打印后台处理程序:
Stop-Service -Name Spooler -Force然后运行以下命令以防止 Windows 在启动时重新启用 Print Spooler 服务:
Set-Service -Name Spooler -StartupType Disabled保持 Windows Print Spooler 服务处于禁用状态,直到 Microsoft 的补丁可用并在不久的将来安装到您的 PC 上。 安全修补后,您可以使用 Powershell 重新启用 Print Spooler 服务
Set-Service -Name Spooler -StartupType Automatic和Start-Service -Name Spooler commands.
请注意,这是不是这是一项长期预防措施,因为即使禁用打印后台处理程序服务,该漏洞仍然存在。 然而,这是目前唯一的选择。 为了安全起见,即使 Microsoft 发布后续安全更新,我们也建议禁用 Print Spooler。 一旦确认漏洞已完全修补,您可以重新启用Print Spooler。
如果发布另一个补丁,我们将再次更新这篇文章。 对于大多数 Windows 10 用户来说,进一步的安全更新将自动显示,但您也可以手动检查新补丁设置 > 更新和安全 > Windows 更新 > 检查更新。使用旧版本 Windows(例如 Windows 7)的用户需要从 Microsoft 的安全更新指南手动下载并安装补丁。
本文最初发布于 2021 年 7 月 2 日,并于 2021 年 7 月 7 日更新,提供有关安装紧急 Windows 安全补丁的说明,并于 2021 年 7 月 8 日再次更新,报告补丁不起作用。
[]
