Problemumgehung für die Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Windows-Druckspooler

• Kategorie: Fenster

Versuchen Sie Unser Instrument, Um Probleme Zu Beseitigen

Wählen Sie Das Betriebssystem Aus Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Wählen Sie Ein Projektionsprogramm (Optional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beschreiben Sie Ihr Problem

Eine Antwort Bekommen

Senden Sie Mir Per E -Mail Auf Der Website Zeigen

Microsoft offengelegt kürzlich eine neue Sicherheitsanfälligkeit in Windows zur Remotecodeausführung, die den Windows-Druckspooler verwendet. Die Sicherheitsanfälligkeit wird aktiv ausgenutzt und Microsoft hat zwei Workarounds veröffentlicht, um Systeme vor Angriffen zu schützen.

Die bereitgestellten Informationen reichen nicht aus, da Microsoft nicht einmal die von dem Sicherheitsproblem betroffenen Windows-Versionen offenlegt. So wie es aussieht, scheint es hauptsächlich Domänencontroller und nicht die Mehrheit der Heimcomputer zu betreffen, da authentifizierte Remotebenutzer erforderlich sind.

Aktualisieren : Microsoft hat Out-of-Band-Updates veröffentlicht, um die Sicherheitsanfälligkeit im Zusammenhang mit dem Drucken zu beheben. Links zu den Patches findet ihr auf diese Microsoft-Seite . Ende

0Patch , die den Patch analysiert haben, vermuten, dass das Problem hauptsächlich Windows Server-Versionen betrifft, aber auch Windows 10-Systeme und Nicht-DC-Server betroffen sein können, wenn Änderungen an der Standardkonfiguration vorgenommen wurden:

UAC (User Account Control) ist komplett deaktiviert
PointAndPrint NoWarningNoElevationOnInstall ist aktiviert

Der CVE bietet die folgende Beschreibung:

Es liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, wenn der Windows-Druckspoolerdienst privilegierte Dateivorgänge nicht ordnungsgemäß ausführt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit SYSTEM-Berechtigungen ausführen. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten mit vollen Benutzerrechten.

An einem Angriff muss ein authentifizierter Benutzer beteiligt sein, der RpcAddPrinterDriverEx() aufruft.

Bitte stellen Sie sicher, dass Sie die am 8. Juni 2021 veröffentlichten Sicherheitsupdates installiert haben, und lesen Sie die Abschnitte FAQ und Problemumgehung in diesem CVE, um zu erfahren, wie Sie Ihr System vor dieser Sicherheitsanfälligkeit schützen können.

Microsoft bietet zwei Vorschläge: den Druckspoolerdienst zu deaktivieren oder den eingehenden Remotedruck mithilfe der Gruppenrichtlinie zu deaktivieren. Die erste Problemumgehung deaktiviert das Drucken (lokal und remote) auf dem Gerät. Dies kann eine Lösung auf Systemen sein, auf denen keine Druckfunktionalität erforderlich ist, aber es ist nicht wirklich eine Option, wenn auf einem Gerät gedruckt wird. Sie können den Druckspooler bei Bedarf umschalten, aber das kann schnell lästig werden.

Die zweite Problemumgehung erfordert Zugriff auf die Gruppenrichtlinie, die nur in den Pro- und Enterprise-Versionen von Windows verfügbar ist.

Hier sind beide Problemumgehungen:

Gehen Sie wie folgt vor, um den Druckspooler zu deaktivieren:

1. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, z. indem Sie Windows-X verwenden und Windows PowerShell (Admin) auswählen.
2. Führen Sie Get-Service -Name Spooler aus.
3. Stop-Service ausführen -Name Spooler -Force
4. Stop-Service -Name Spooler -Force
5. Set-Service -Name Spooler -StartupType Disabled

Befehl (4) stoppt den Druckspooler-Dienst, Befehl (5) deaktiviert ihn. Beachten Sie, dass Sie nach den Änderungen nicht mehr drucken können (es sei denn, Sie aktivieren den Druckspooler-Dienst erneut.

Gehen Sie wie folgt vor, um eingehenden Remote-Druck zu deaktivieren:

1. Öffnen Sie Start.
2. Geben Sie gpedit.msc ein.
3. Laden Sie den Gruppenrichtlinien-Editor.
4. Gehen Sie zu Computerkonfiguration / Administrative Vorlagen / Drucker.
5. Doppelklicken Sie auf Druckspooler erlauben, Clientverbindungen zu akzeptieren.
6. Legen Sie die Richtlinie auf Deaktiviert fest.
7. Wählen Sie in Ordnung.

0Patch hat einen Mikropatch entwickelt und veröffentlicht das das Problem mit der Remotecodeausführung des Druckspoolers behebt. Der Patch wurde zu diesem Zeitpunkt nur für Windows Server erstellt, insbesondere für Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 und Windows Server 2019.