CVE-2021-34527
Microsoft Windows
2021-11-03
Microsoft Windows Print Spooler contains an unspecified vulnerability due to the Windows Print Spooler service improperly performing privileged file operations. Successful exploitation allows an attacker to perform remote code execution with SYSTEM privileges. The vulnerability is also known under the moniker of PrintNightmare.
Технический анализ и план устранения
Суть уязвимости
Уязвимость (PrintNightmare) в службе диспетчера печати Windows (Print Spooler) позволяет удаленному атакующему, прошедшему аутентификацию в системе, выполнить произвольный код с правами SYSTEM. Для эксплуатации достаточно отправить специально сформированный запрос на печать к уязвимому серверу.
Как исправить
Установите официальные обновления безопасности от Microsoft, соответствующие вашей версии ОС: * Windows Server 2012 R2, Windows 8.1: KB5004298 * Windows Server 2016, Windows 10 версии 1607: KB5004238 * Windows Server 2019, Windows 10 версии 1809: KB5004245 * Windows 10 версий 2004, 20H2, 21H1: KB5004237
Проверка установки патча: 1. Откройте PowerShell от имени администратора. 2. Выполните команду, чтобы найти установленный патч (например, для KB5004237):
Get-HotFix -Id KB5004237
Если патч установлен, команда вернет информацию о нем.
Временное решение
Если немедленная установка обновления невозможна, отключите службу диспетчера печати.
Отключение службы через PowerShell (администратор):
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Включение службы обратно (когда будет установлен патч):
Set-Service -Name Spooler -StartupType Automatic
Start-Service -Name Spooler
Важно: Отключение службы Spooler остановит всю печать на сервере и с него. Для контроллеров домена это критично, так как может нарушить работу групповых политик, связанных с печатью. Рассмотрите возможность применения правила групповой политики для отключения службы только на уязвимых серверах, не являющихся выделенными серверами печати.