Windows 打印缺陷仍然可以入侵您的 PC – 这是该怎么做

微软的印刷噩梦似乎不想结束。

在过去的几天里,与 Windows PrintNightmare 漏洞相关的一个,可能还有两个,严重的安全漏洞被曝光。 在 Microsoft 提供软件更新之前,完全保护您的系统免受至少使用这些缺陷之一的攻击的唯一方法是完全禁用打印。

Windows 被“PrintNightmare”漏洞利用——你需要知道的你可以免费购买或获得的最好的防病毒软件加: 不,iPad 不能取代笔记本电脑——我花了 1,000 美元才能找到

就像 PrintNightmare 漏洞在 6 月下旬和 7 月初意外泄露,然后部分修补,这些新漏洞滥用 Windows 中的 Print Spooler 服务。

第一个漏洞出现在 7 月 15 日的意外 Microsoft 安全公告中。 它允许具有本地访问权限的攻击者(例如已经通过其他方式感染了您的机器的恶意软件,或者在您登录时坐在您的机器前但已离开的坏人)“提升权限”并获得对机器。

“成功利用此漏洞的攻击者可以使用系统权限运行任意代码,”微软在公告中表示。 “然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。”

“此漏洞的解决方法是停止并禁用 Print Spooler 服务,”该软件制造商干巴巴地补充道。

换句话说,为了减轻(虽然不是真正修复)这个缺陷,你必须完全禁用打印。 我们在下面提供了有关如何执行此操作的说明。

这个修复真的适合你吗?

但请坚持:如果您在家中使用 PC,并且安装了一些最好的 Windows 10 防病毒软件来防止恶意软件感染,并且您相信与您住在一起的人不会弄乱您的 PC,那么您可能会不需要采取如此严厉的措施。

利用这个漏洞(微软给它的目录号为 CVE-2021-34481)对于工作场所中的 PC 用户来说是一个更高的风险,这些用户在(本地)与其他几十台机器联网并且可能在去喝咖啡或使用浴室。

发现此缺陷的功劳归功于一位名叫雅各布·贝恩斯 (Jacob Baines) 的安全研究员,他计划将 公开他的发现 在下个月的 DEF CON 黑客大会上。 他对微软选择在修复程序可用之前公开披露该漏洞感到有些困惑。

“MS 咨询/CVE 对我来说是一个惊喜,就我而言,这不是协调披露,”贝恩斯在一条推文中写道。 他补充说,他已于 6 月 18 日私下向微软披露了该漏洞。

查看更多

微软在公告中表示,它正在“开发安全更新”来修复这个漏洞,但没有提供时间表。

该公司没有详细说明漏洞究竟是什么,但贝恩斯的 DEF CON 概要暗示它与使用 Windows PrintDemon、Print Spooler 和 Point and Print 服务安装易受攻击的打印驱动程序有关。

他承诺展示“三个例子”,这表明他可能发现了不止一个缺陷,或者不止一种利用同一缺陷的方法。

不同的缺陷,还是同一缺陷的变种?

正如法国黑客 Benjamin Delpy 在 7 月 16 日透露的那样,这听起来可能与过去几天披露的第二个 Windows 打印安全漏洞重叠。

查看更多

德尔佩告诉 哔哔电脑 他发现 Windows 指向和打印功能存在漏洞,该功能允许通过 Internet 下载和安装未经 Microsoft 验证的打印驱动程序。

Point and Print 已经够糟糕了,因为它允许非特权 Windows 用户(通常不允许安装系统级软件)从本地打印机下载和安装打印机驱动程序。 幸运的是,Point and Print 在家用 PC 上并不常见,它更像是一种企业产品。

但这些驱动程序应该由微软签名。 Delpy 发现他可以绕过这个问题并通过让 PC 大约同时连接到两台类似的打印机来传送恶意打印机驱动程序。 (我们不太清楚它是如何工作的。)

美国政府资助的匹兹堡 CERT 协调中心 (CERT-CC) 的研究员 Will Dormann 证实,Delpy 的漏洞利用“效果很好”。

查看更多

现在,这是否与贝恩斯向微软披露的缺陷相同,我们无法判断。 Delpy 说他的漏洞利用在互联网上工作,允许远程黑客执行远程代码,而不仅仅是附近黑客的本地权限升级。 再说一次,Delpy 的缺陷并不真正适用于家用 PC,而 Baines 的缺陷适用。 但它们听起来确实大致相同。

多尔曼写了一份官方 CERT-CC 安全公告 这警告了 Delpy 尚未编入目录的缺陷。 缓解措施是“在您的网络边界阻止出站 SMB 流量”和“配置 PackagePointAndPrintServerList”,这对家庭用户没有意义。

如何禁用打印后台处理程序

尽管如此,家庭用户仍可以针对早先披露的编目缺陷实施微软的权宜之计。 同样,这会扼杀您的打印能力,因此在执行此操作之前请三思。

要禁用打印后台处理程序,您必须假装自己是 IT 专业人员并启动 Windows PowerShell,它是标准 Windows 命令提示符工具的更强大版本。 幸运的是,PowerShell 从 Windows 7 开始就内置于 Windows 中。

1. 在 Windows 10 屏幕左下角的 Windows 图标旁边的搜索字段中搜索“PowerShell”

2. 在搜索结果中右键单击“Windows PowerShell”并选择“以管理员身份运行”。

3. 输入您的 Windows 管理密码。 如果您已经经常以管理员身份运行 Windows(您不应该这样做),那么这只是您的常规登录密码。

4. 在 PowerShell 窗口中,键入

Get-Service -Name Spooler

然后按 Enter 键。

您将获得一个简短的状态报告,告诉您 Print Spooler 是否正在运行和启用。 如果是,则执行后续步骤。

5. 输入

Stop-Service -Name Spooler -Force

然后按 Enter 键。 这将在您当前的 Windows 会话期间禁用打印后台处理程序。

6. 输入

Set-Service -Name Spooler -StartupType Disabled

然后按 Enter 键。 这将完全禁用 Print Spooler,直到您再次手动重新启动它。

如何重新启用打印后台处理程序

当然,一旦此缺陷得到修复,您将希望再次进行打印。

要重新启动 Print Spooler,再次启动 PowerShell,输入

Start-Service -Name Spooler -Force

然后按 Enter 键。

要使更改永久化,请输入

Set-Service -Name Spooler -StartupType Enabled

并按 Enter 键。

当今最好的 Bitdefender Total Security 交易降价比特卫士Bitdefender 全面安全89.99 美元36 美元比特卫士比特卫士Bitdefender 全面安全 2020 – 2149.99 美元比特卫士比特卫士Bitdefender 全面安全 2020 – 3199.99 美元比特卫士