CVE-2021-1675

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows Print Spooler contains an unspecified vulnerability that allows for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (PrintNightmare) в службе диспетчера печати Windows (Print Spooler) позволяет удаленному аутентифицированному пользователю выполнить произвольный код с правами SYSTEM. Злоумышленник может отправить специально созданный запрос на печать на уязвимый сервер, что приведет к загрузке и выполнению вредоносной DLL.

Как исправить

Установите официальные обновления безопасности от Microsoft.

  • Для Windows 10 (включая серверные версии 2016, 2019, 2022): Установите обновление KB5004945 (выпуск от 8 июня 2021 г.) или более поздние ежемесячные накопительные обновления.
  • Для Windows 7 / Server 2008 R2 (расширенная поддержка): Установите обновление KB5004950 (выпуск от 8 июня 2021 г.) или более поздние обновления.

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все предлагаемые обновления, особенно с пометкой "Безопасность". 4. Перезагрузите систему.

Альтернативно (PowerShell от имени администратора):

Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временное решение

Если немедленная установка обновлений невозможна, отключите службу диспетчера печати.

1. Остановите и отключите службу Spooler (PowerShell от имени администратора):

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

2. Запретите запуск службы через групповые политики (GPO): * Откройте gpedit.msc (локально) или объект групповой политики домена. * Перейдите: Конфигурация компьютера -> Настройки Windows -> Настройки безопасности -> Системные службы. * Найдите службу "Диспетчер печати". * Установите "Определить эту политику", выберите "Отключена" и нажмите "ОК".

3. Ограничьте доступ (если отключение невозможно): * Настройте брандмауэр, чтобы блокировать входящие подключения к портам 135 (RPC) и 445 (SMB) для всех, кроме доверенных IP-адресов серверов печати. * Отключите возможность установки драйверов печати для непривилегированных пользователей через GPO: Конфигурация компьютера -> Административные шаблоны -> Система -> Установка драйвера печати -> "Разрешить не администраторам устанавливать драйверы для принтеров..." -> "Отключить".

Важно: Отключение Spooler приведет к невозможности печати как локально, так и по сети. Применяйте это решение на критических серверах (например, контроллерах домена), где печать не требуется.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей