Ako zmierniť zraniteľnosť služby Microsoft Print Spooler – PrintNightmare

Tento týždeň, PrintNightmare – Zraniteľnosť služby Print Spooler (CVE-2021-34527) od spoločnosti Microsoft bola inovovaná z „nízkej“ kritickosti na „kritickú“.

Dôvodom je Proof of Concept zverejnený na GitHub, ktorý by útočníci mohli potenciálne využiť na získanie prístupu k radičom domén.

Ako sme už informovali, Microsoft už vydal opravu v júni 2021, ale na zastavenie exploitov to nestačilo. Útočníci môžu pri vzdialenom pripojení stále používať Print Spooler. Všetko, čo potrebujete vedieť o tejto zraniteľnosti, nájdete v tomto článku a o tom, ako ju môžete zmierniť (a môžete).

Print Spooler v skratke: Print Spooler je služba spoločnosti Microsoft na správu a monitorovanie tlače súborov. Táto služba patrí medzi najstaršie od spoločnosti Microsoft a od svojho vydania má minimálne aktualizácie údržby.

Každý počítač spoločnosti Microsoft (servery a koncové body) má túto funkciu predvolene povolenú.

Zraniteľnosť PrintNightmare: Hneď ako útočník získa obmedzený používateľský prístup k sieti, bude sa môcť pripojiť (priamo alebo vzdialene) k zaraďovaču tlače. Keďže Print Spooler má priamy prístup k jadru, útočník ho môže použiť na získanie prístupu k operačnému systému, spustenie vzdialeného kódu so systémovými oprávneniami a v konečnom dôsledku na útok na radič domény.

Vašou najlepšou voľbou, pokiaľ ide o zmiernenie zraniteľnosti PrintNightmare, je zakázať službu Print Spooler na každom serveri a/alebo citlivej pracovnej stanici (ako sú pracovné stanice správcov, pracovné stanice s priamym prístupom na internet a netlačiace pracovné stanice).

To je to, čo Dvir Goren, odborník na kalenie a CTO v CalCom Software Solutions, navrhuje ako váš prvý krok k zmierneniu.

Ak chcete zakázať službu Print Spooler, postupujte podľa týchto krokov Windows 10:

  1. Otvorte Štart.
  2. Vyhľadajte PowerShell, kliknite naň pravým tlačidlom myši a vyberte možnosť Spustiť ako správca.
  3. Napíšte príkaz a stlačte Enter: Stop-Service -Name Spooler -Force
  4. Tento príkaz použite na zabránenie opätovnému spusteniu služby počas reštartu: Set-Service -Name Spooler -StartupType Disabled

Podľa skúseností spoločnosti Dvir 90 % serverov nevyžaduje Print Spooler. Je to predvolená konfigurácia pre väčšinu z nich, takže je zvyčajne povolená. Výsledkom je, že jeho deaktivácia môže vyriešiť 90 % vášho problému a mať malý vplyv na produkciu.

Vo veľkých a zložitých infraštruktúrach môže byť náročné nájsť miesto, kde sa používa Print Spooler.

Tu je niekoľko príkladov, kde sa vyžaduje Print Spooler:

  1. Pri používaní služieb Citrix,
  2. faxové servery,
  3. Akákoľvek aplikácia vyžadujúca virtuálnu alebo fyzickú tlač PDF, XPS atď. Napríklad fakturačné služby a mzdové aplikácie.

Tu je niekoľko príkladov, keď zaraďovač tlače nie je potrebný, ale je predvolene povolený:

  1. Domain Controller a Active Directory – hlavné riziko tejto zraniteľnosti je možné neutralizovať praktizovaním základnej kybernetickej hygieny. Nemá zmysel mať povolenú službu Print Spooler v DC a AD serveroch.
  2. Členské servery ako SQL, File System a Exchange servery.
  3. Stroje, ktoré nevyžadujú tlač.

Niekoľko ďalších krokov vytvrdzovania, ktoré navrhuje Dvir pre stroje závislé od Print Spooler, zahŕňa:

  1. Nahraďte zraniteľný protokol Print Spooler službou inej spoločnosti ako Microsoft.
  2. Zmenou „Povoliť zaraďovaču tlače akceptovať pripojenia klientov“ môžete obmedziť prístup používateľov a vodičov k zaraďovaču tlače na skupiny, ktoré ho musia používať.
  3. Zakázať Call Spooler v pred-Windows 2000 skupina kompatibility.
  4. Uistite sa, že funkcia Ukázať a tlačiť nie je nakonfigurovaná na možnosť Žiadne upozornenie – skontrolujte kľúč databázy Registry SOFTWARE/Policies/Microsoft/Windows NT/Printers/PointAndPrint/NoElevationOnInstall pre hodnotu DWORD 1 a zmeniť to na 0.
  5. Vypnite EnableLUA – skontrolujte kľúč registra SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System/EnableLUA pre hodnotu DWORD 0 a zmeniť to na 1.

Ďalej uvádzame, čo musíte urobiť, aby ste zaistili bezpečnosť svojej organizácie:

  1. Zistite, kde sa vo vašej sieti používa Print Spooler.
  2. Zmapujte svoju sieť, aby ste našli zariadenia, ktoré musia používať Print Spooler.
  3. Zakážte zaraďovanie tlače na zariadeniach, ktoré ho nepoužívajú.
  4. Pre počítače, ktoré vyžadujú Print Spooler – nakonfigurujte ich tak, aby sa minimalizovala plocha útoku.

Okrem toho, ak chcete nájsť potenciálne dôkazy o zneužívaní, mali by ste tiež sledovať Microsoft-Windows-Položky denníka PrintService/Admin. Môžu sa vyskytovať položky s chybovými hláseniami, ktoré indikujú, že služba Print Spooler nemôže načítať knižnice DLL doplnkového modulu, aj keď k tomu môže dôjsť aj vtedy, ak útočník zabalí legitímnu knižnicu DLL, ktorú požaduje služba Print Spooler.

Záverečné odporúčanie od Dvir je implementovať tieto odporúčania prostredníctvom nástrojov automatizácie kalenia. Bez automatizácie strávite nespočetné hodiny pokusmi o manuálne vytvrdzovanie a môžete sa stať zraniteľnými alebo spôsobiť výpadky systémov

Po výbere vášho postupu automatizačný nástroj Hardening zistí, kde je služba Print Spooler povolená, kde sa skutočne používa, a automaticky ju deaktivuje alebo prekonfiguruje.