如何缓解Microsoft打印后台处理程序漏洞

本周，打印噩梦-Microsoft的后台打印程序漏洞（CVE-2021-34527）已从“低”严重性升级为“严重”严重性。

这是由于GitHub上发布了一个概念验证，攻击者可能会利用它来访问域控制器。

正如我们之前报道的那样，微软已经在2021年6月发布了一个补丁，但它还不足以阻止开发。远程连接时，攻击者仍可以使用后台打印程序。您可以在本文中找到有关此漏洞的所有信息，以及如何缓解它（而且可以）。

简单地说，打印后台处理程序：打印后台程序是微软的服务，用于管理和监控文件打印。这项服务是微软最古老的服务之一，自发布以来，其维护更新最少。

默认情况下，每台Microsoft计算机（服务器和端点）都启用了此功能。

打印噩梦漏洞：一旦攻击者获得有限的用户访问网络的权限，他将能够（直接或远程）连接到后台打印程序。由于后台打印程序可以直接访问内核，攻击者可以使用它访问操作系统，以系统权限运行远程代码，并最终攻击域控制器。

要缓解Print噩梦漏洞，最好的选择是禁用每台服务器和/或敏感工作站（如管理员工作站、直接面向internet的工作站和非打印工作站）上的打印后台处理程序。

这是CalCom软件解决方案公司的强化专家兼首席技术官Dvir Goren建议的，作为您采取缓解措施的第一步。

按照以下步骤禁用Windows 10上的后台打印程序服务：

1. 开始吧。
2. 搜索PowerShell，右键单击它并选择以管理员身份运行。
3. 键入命令并按Enter键：停止服务-名称后台处理程序-强制
4. 使用此命令可防止服务在重新启动期间重新启动：Set service-Name Spooler-StartupType Disabled

根据Dvir的经验，90%的服务器不需要后台打印程序。这是大多数应用程序的默认配置，因此通常是启用的。因此，禁用它可以解决90%的问题，对生产几乎没有影响。

在大型和复杂的基础设施中，确定后台打印程序的使用位置可能很困难。

以下是一些需要后台打印程序的示例：

1. 使用Citrix服务时，
2. 传真服务器，
3. 任何需要虚拟或物理打印PDF、XPS等的应用程序。例如，计费服务和工资应用程序。

以下是一些不需要后台打印程序但默认启用的示例：

1. 域控制器和Active Directory–；通过练习基本的网络卫生，可以消除该漏洞中的主要风险。在DCs和AD服务器中启用后台打印程序是没有意义的。
2. 成员服务器，如SQL、文件系统和Exchange服务器。
3. 不需要打印的机器。

Dvir为依赖后台打印程序的机器建议的其他几个强化步骤包括：

1. 用非Microsoft服务替换易受攻击的后台打印程序协议。
2. 通过更改“允许后台打印程序接受客户端连接”，可以将用户和驱动程序对后台打印程序的访问限制为必须使用它的组。
3. 在Windows 2000之前的兼容组中禁用后台打印程序调用程序。
4. 确保Point and Print未配置为无警告–；检查注册表项SOFTWARE/Policys/Microsoft/Windows NT/Printers/PointAndPrint/NoElevationOnInstall中的DWORD值1，并将其更改为0。
5. 关闭EnableLUA–；检查注册表项SOFTWARE/Microsoft/Windows/CurrentVersion/Policys/System/EnableLUA中的DWORD值0，并将其更改为1。

以下是确保组织安全的下一步措施：

1. 识别网络上使用后台打印程序的位置。
2. 映射网络以查找必须使用后台打印程序的机器。
3. 在不使用后台打印程序的机器上禁用它。
4. 对于需要打印后台处理程序的机器–；对其进行配置，使其攻击面最小化。

除此之外，要找到潜在的攻击证据，还应监视Microsoft Windows PrintService/Admin日志条目。可能有带有错误消息的条目指示后台打印程序无法加载插件模块DLL，但如果攻击者打包了后台打印程序所需的合法DLL，也可能发生这种情况。

Dvir的最终建议是通过强化自动化工具来实施这些建议。如果没有自动化，您将花费无数个小时试图手动硬化，最终可能会变得脆弱或导致系统崩溃

在选择行动方案后，强化自动化工具将发现后台打印程序的启用位置、实际使用位置，并自动禁用或重新配置它们。