CVE-2022-41073

Microsoft Windows

ВЕРОЯТНОСТЬ 1.9%
Дата обнаружения

2022-11-08

Официальное описание

Microsoft Windows Print Spooler contains an unspecified vulnerability that allows an attacker to gain SYSTEM-level privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-41073 — это критическая уязвимость в службе диспетчера очереди печати Windows (Print Spooler), позволяющая локальное повышение привилегий (LPE). Проблема связана с некорректной обработкой файловых операций внутри службы. Злоумышленник, имеющий доступ к системе с низкими правами, может эксплуатировать эту брешь для выполнения произвольного кода с правами SYSTEM. Это дает полный контроль над скомпрометированным узлом, позволяя устанавливать программы, изменять данные и создавать новые учетные записи с правами администратора.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft (Security Update), выпущенных в декабре 2022 года или позже.

  1. Запустите поиск обновлений через Центр обновления Windows (Windows Update).
  2. Установите накопительный пакет обновления (Cumulative Update), соответствующий вашей версии ОС.

Для ручной установки или проверки наличия патча в корпоративной среде используйте следующие команды:

Проверка наличия установленного обновления (KB) через PowerShell:

Get-HotFix -Id KB5021233

(Примечание: номер KB может отличаться в зависимости от версии Windows, например, для Windows 10 21H2 это KB5021233, для Windows 11 — KB5021255).

Временные меры

Если установка патчей невозможна в данный момент, необходимо минимизировать риски путем отключения службы Print Spooler или ограничения ее функционала.

Вариант 1: Полное отключение службы Print Spooler Это самый надежный метод, если функции печати на сервере/хосте не требуются.

Остановка и отключение службы через PowerShell:

Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled

Вариант 2: Отключение возможности удаленной печати через групповые политики (GPO) Если печать необходима локально, но нужно закрыть вектор атаки из сети:

  1. Откройте gpedit.msc.
  2. Перейдите в: Конфигурация компьютера -> Административные шаблоны -> Принтеры.
  3. Установите параметр «Разрешить диспетчеру очереди печати принимать подключения клиентов» (Allow Print Spooler to accept client connections) в состояние «Отключено».
  4. Перезапустите службу печати:
Restart-Service -Name Spooler

Вариант 3: Удаление службы Print Spooler (для критических серверов, где печать запрещена)

Remove-Service -Name Spooler
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей