วิธีแก้ปัญหาสำหรับช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler

• หมวดหมู่: Windows

ลองใช้เครื่องมือของเราเพื่อกำจัดปัญหา

เลือกระบบปฏิบัติการ Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro เลือกโปรแกรมการฉาย (ทางเลือก) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

อธิบายปัญหาของคุณ

รับคำตอบ

ส่งอีเมลถึงฉัน แสดงบนเว็บไซต์

Microsoft เปิดเผย ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใหม่ใน Windows ล่าสุดที่ใช้ Windows Print Spooler ช่องโหว่นี้ถูกใช้อย่างแข็งขันและ Microsoft ได้เผยแพร่วิธีแก้ไขปัญหาชั่วคราวสองวิธีเพื่อปกป้องระบบจากการถูกโจมตี

ข้อมูลที่ให้มาไม่เพียงพอ เนื่องจาก Microsoft ไม่ได้เปิดเผยเวอร์ชันของ Windows ที่ได้รับผลกระทบจากปัญหาด้านความปลอดภัย ดูจากรูปลักษณ์แล้ว ดูเหมือนว่าจะส่งผลกระทบต่อตัวควบคุมโดเมนเป็นส่วนใหญ่ ไม่ใช่คอมพิวเตอร์ที่บ้านส่วนใหญ่ เนื่องจากต้องใช้ผู้ใช้ที่ได้รับการพิสูจน์ตัวตนจากระยะไกล

อัปเดต : Microsoft ออกการอัปเดตนอกวงเพื่อแก้ไขช่องโหว่ที่เกี่ยวข้องกับการพิมพ์ คุณพบลิงก์ไปยังแพทช์บน หน้า Microsoft นี้ . จบ

0แพทช์ ที่ได้วิเคราะห์แพตช์นี้ เสนอแนะว่าปัญหาส่งผลกระทบต่อเวอร์ชันของ Windows Server เป็นหลัก แต่ระบบ Windows 10 และเซิร์ฟเวอร์ที่ไม่ใช่ DC อาจได้รับผลกระทบเช่นกัน หากมีการเปลี่ยนแปลงการกำหนดค่าเริ่มต้น:

UAC (การควบคุมบัญชีผู้ใช้) ถูกปิดใช้งานอย่างสมบูรณ์
PointAndPrint NoWarningNoElevationOnInstall ถูกเปิดใช้งาน

CVE เสนอคำอธิบายต่อไปนี้:

มีช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลเมื่อบริการ Windows Print Spooler ทำการดำเนินการไฟล์ที่มีสิทธิพิเศษอย่างไม่เหมาะสม ผู้โจมตีที่ประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่นี้สามารถเรียกใช้รหัสโดยอำเภอใจที่มีสิทธิ์ SYSTEM ผู้โจมตีสามารถติดตั้งโปรแกรมได้ ดู เปลี่ยนแปลง หรือลบข้อมูล หรือสร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้เต็มรูปแบบ

การโจมตีต้องเกี่ยวข้องกับผู้ใช้ที่ได้รับการพิสูจน์ตัวตนเรียก RpcAddPrinterDriverEx()

โปรดตรวจสอบให้แน่ใจว่าคุณได้ใช้การอัปเดตความปลอดภัยที่เผยแพร่เมื่อวันที่ 8 มิถุนายน 2021 และดูส่วนคำถามที่พบบ่อยและวิธีแก้ปัญหาใน CVE นี้สำหรับข้อมูลเกี่ยวกับวิธีการช่วยปกป้องระบบของคุณจากช่องโหว่นี้

Microsoft ให้คำแนะนำสองประการ: เพื่อปิดใช้งานบริการ Print Spooler หรือปิดใช้งานการพิมพ์ระยะไกลขาเข้าโดยใช้นโยบายกลุ่ม วิธีแก้ปัญหาเบื้องต้นปิดใช้งานการพิมพ์ในเครื่องและจากระยะไกลบนอุปกรณ์ อาจเป็นวิธีแก้ปัญหาบนระบบที่ไม่จำเป็นต้องใช้ฟังก์ชันการพิมพ์ แต่ก็ไม่ใช่ตัวเลือกจริงๆ หากทำการพิมพ์บนอุปกรณ์ คุณสามารถสลับ Print Spooler ได้ตามต้องการ แต่นั่นอาจสร้างความรำคาญได้อย่างรวดเร็ว

วิธีแก้ปัญหาที่สองต้องมีการเข้าถึงนโยบายกลุ่ม ซึ่งมีเฉพาะใน Windows รุ่น Pro และ Enterprise

นี่คือวิธีแก้ปัญหาทั้งสอง:

ในการปิดใช้งานตัวจัดคิวงานพิมพ์ ให้ทำดังต่อไปนี้:

1. เปิดพรอมต์ PowerShell ที่ยกระดับ เช่น โดยใช้ Windows-X และเลือก Windows PowerShell (Admin)
2. เรียกใช้ Get-Service -Name Spooler
3. เรียกใช้ Stop-Service -Name Spooler -Force
4. หยุดบริการ -ชื่อ Spooler -Force
5. Set-Service -Name Spooler -StartupType Disabled

คำสั่ง (4) หยุดบริการ Print Spooler คำสั่ง (5) ปิดใช้งาน โปรดทราบว่าคุณจะไม่สามารถพิมพ์ได้อีกเมื่อคุณทำการเปลี่ยนแปลง (เว้นแต่คุณจะเปิดใช้งานบริการ Print Spooler อีกครั้ง

ในการปิดใช้งานการพิมพ์ระยะไกลขาเข้า ให้ทำดังต่อไปนี้:

1. เปิดเริ่ม
2. พิมพ์ gpedit.msc
3. โหลดตัวแก้ไขนโยบายกลุ่ม
4. ไปที่การกำหนดค่าคอมพิวเตอร์ / เทมเพลตการดูแล / เครื่องพิมพ์
5. ดับเบิลคลิกที่ Allow Print Spooler เพื่อยอมรับการเชื่อมต่อไคลเอ็นต์
6. ตั้งค่านโยบายเป็น ปิดใช้งาน
7. เลือกตกลง

0Patch ได้พัฒนาและเผยแพร่ micropatch ที่แก้ไขปัญหา Print Spooler Remote Code Execution แพตช์นี้ถูกสร้างขึ้นสำหรับ Windows Server เท่านั้น โดยเฉพาะ Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 และ Windows Server 2019