هشدار به متخصصان و راهبران سیستم، Windows Print Spooler را روی سرورهایی که برای چاپ استفاده نمیشوند غیرفعال کنید
به گزارش مرکز مدیریت راهبردی افتا، آژانس امنیت سایبری و زیرساخت (CISA) در مورد آسیبپذیری روز – صفر PrintNightmare در اطلاعیهای به مدیران توصیه میکند که سرویس Windows Print Spooler را روی سرورهایی که برای چاپ استفاده نمیشوند غیرفعال کنند.
مدیران فناوری اطلاعات، ضروری است سرویس Spooler Windows Print را در دامین کنترلرها و سیستمهایی غیرفعال کنند که برای چاپ استفاده نمیشوند.
علاوه بر این، مدیران باید روشهای زیر را از راهنمای مایکروسافت که در ۱۱ ژانویه ۲۰۲۱ منتشر شده استفاده کنند. (لینک زیر)
https://docs.microsoft.com/en-us/defender-for-identity/cas-isp-print-spooler
طبق توصیههای مایکروسافت، سرویس Print Spooler به دلیل قرارگرفتن در معرض حملات، باید در تمام دامین کنترلرها و سیستمهای مدیریت اکتیو دایرکتوری از طریق Group Policy Object غیرفعال شود.
این سرویس باید در تمام سرورهایی که به آن نیازی ندارند، غیرفعال شود، زیرا به طور پیشفرض در اکثر کلاینتهای ویندوز و سیستمعاملهای سرور فعال است.
تا زمانی که مایکروسافت آسیبپذیری روز – صفر PrintNightmare را برطرف نکند، غیرفعالکردن سرویس Print Spooler سادهترین راه برای اطمینان از عدم تهدید عاملان تهدید و بهویژه گروههای باجافزار برای تخریب شبکههای سازمانی است.
آسیبپذیری روز – صفر ویندوز با اکسپلویت عمومی
شرکت امنیتی چینی Sangfor، PoC برای آسیبپذیری روز – صفر Windows Print Spooler معروف به PrintNightmare را منتشر کرد که به مهاجمین اجازه میدهد تا از طریق اجرای کد از راه دور با دسترسی SYSTEM کنترل سرورهای آسیبدیده را در دست بگیرند.
شرکت مشاوره امنیتی لارس اطلاعات کشف و بازسازی PrintNightmare را در GitHub منتشر کرده است که در آن جزئیات نحوه توقف و غیرفعالکردن سرویس Print Spooler از تنظیمات Group Policy یا استفاده از اسکریپت PowerShell توضیح داده شده است. (لینک زیر)
https://github.com/LaresLLC/CVE-۲۰۲۱-۱۶۷۵
مرکز CERT (CERT / CC) دستورالعملهای مربوط به توقف و غیرفعالکردن سرویس را در یادداشت آسیبپذیری جداگانه منتشر کرده است. (لینک زیر)
https://www.kb.cert.org/vuls/id/۳۸۳۴۳۲
منبع:
دیدگاه شما