קרדיט: דייגו סרבו - (Shutterstock)
מיקרוסופט פרסמה לאחרונה תיקוני חירום כדי לתקן ליקוי אבטחה גדול של יום אפס בקוד Print Spooler של Windows המכונה "PrintNightmare", אך הם לא פתרו את הבעיה. חוקרי אבטחה גילו שהפגיעות עדיין קיימת במספר גרסאות של Windows גם לאחר התיקון (viaTechRadar), מה שמותיר את המשתמשים חשופים לאיומי אבטחת סייבר חמורים.
על ידי ניצול באג PrintNightmare, האקרים יכלו להשיג שליטה על המחשב האישי ולהתקין תוכנות זדוניות, תוכנות כופר, לגנוב או להשמיד נתונים חשובים ועוד, מבלי להידרש לגישה פיזית למחשב. אתה יודע, כובע שחור אמיתי.
כַּמָהמומחי אבטחה מפקפקיםהחברה בדקה את התיקון כראוי לפני שדחפה אותו לאוויר. כך או כך, זה מראה רע עבור מיקרוסופט ורק הופך את תקלת ה-PrintNightmare ליותר סיוט - כזה שמעמיד מיליוני מכשירי Windows בסיכון.
מה זה PrintNightmare?
PrintNightmare משפיע על Windows Print Spooler בכל הגירסאות של Windows, כולל הגירסאות המותקנות במחשבים אישיים, רשתות ארגוניות, שרתי Windows ובקרי תחום. גרוע מכך, האקרים מנצלים באופן פעיל את PrintSpooler עקב מתקפת הוכחת מושג (PoC).
חוקרי אבטחה ב-Sangfor גילו את ניצול PrintNightmare יחד עם עוד כמה פגמים של יום אפס בשירותי Windows Print Spooler. הקבוצה יצרה ניצול PoC כחלק ממצגת הקרובה על הפגמים. החוקרים האמינו שהפגיעויות כבר תוקנו ופרסמו אותן ב-Github.
מיקרוסופט, למעשה, תיקנה חלק מהחולשות של Print Spooler של אפס יום בעדכון אבטחה קודם, אבל PrintNightmare לא תוקנה. בעוד שה-PringNightmare PoC המקורי של Sangfor כבר לא נמצא ב-Github, הפרויקט שוכפל לפני שניתן היה להוריד אותו, ויש ראיות שהשימוש ב-PoC נעשה.
מיקרוסופט פרסמה תיקוני אבטחה חירום עבור כל הגירסאות המושפעות של Windows, כולל:
Windows 10
Windows 8.1
Windows 7
Windows RT 8.1
גרסאות רבות של Windows Server
לרוע המזל, כפי שאנו יודעים כעת, המדבקות לא עשו סקוואט. למרבה המזל, שירות Windows Print Spoolerפַּחִיתלהיות מושבת זמנית כדי למנוע התקפת PrintNightmare.
השבת את שירות Window Print Spooler מיד
מנהלי רשת יכולים להשבית (ולשחזר) את Windows Print Spooler והדפסה מרחוק עם מדיניות קבוצתית, אך משתמשים כלליים יצטרכו לכבות אותה באמצעות פקודות Powershell, אשר יגן על המחשב שלך מפני כל איומי PrintNightmare:
השתמש בשורת המשימות או בתפריט ההתחלה של Windows כדי לחפש"פאוורשל."
לחץ לחיצה ימנית על Powershell ובחר"הפעל כמנהל."
בשורת Powershell, הפעל את הפקודה הבאה כדי להשבית את Windows Print Spooler:
Stop-Service -Name Spooler -Forceלאחר מכן הפעל את הפקודה הזו כדי למנוע מ-Windows להפעיל מחדש את שירותי Print Spooler בעת ההפעלה:
Set-Service -Name Spooler -StartupType Disabledהשאר את שירותי Windows Print Spooler שלך מושבתים עד שהתיקון של Microsoft יהיה זמין ויותקן במחשב שלך מתישהו בעתיד הקרוב. לאחר תיקון בטוח, תוכל להפעיל מחדש את שירותי Print Spooler ב-Powershell באמצעות
Set-Service -Name Spooler -StartupType AutomaticוStart-Service -Name Spooler commands.
שימו לב שזהולֹאאמצעי מניעה לטווח ארוך מכיוון שהפגיעות עדיין קיימת גם כאשר שירותי Print Spooler מושבתים. עם זאת, זו האפשרות היחידה לעת עתה. אנו ממליצים להשאיר את Print Spooler מושבת גם אם Microsoft תשחרר עדכוני אבטחה עוקבים, ליתר בטחון. אתה יכול להפעיל מחדש את Print Spooler לאחר אישור שהפגיעות תוקנה במלואה.
נעדכן את הפוסט הזה שוב אם וכאשר ישוחרר תיקון נוסף. עבור רוב משתמשי Windows 10, עדכוני אבטחה נוספים יופיעו אוטומטית, אך אתה יכול גם לבדוק באופן ידני אם יש תיקונים חדשים בהגדרות > עדכון ואבטחה > Windows Update > חפש עדכונים.משתמשים בגירסאות ישנות יותר של Windows, כמו Windows 7, צריכים להוריד ולהתקין את התיקון באופן ידני ממדריך עדכוני האבטחה של מיקרוסופט.
מאמר זה פורסם במקור ב-2 ביולי 2021 ועודכן ב-7 ביולי 2021 עם הנחיות להתקנת תיקוני האבטחה החירום של Windows, ושוב ב-8 ביולי 2021 עם דיווחים שהתיקונים אינם פועלים.
[הגבול]
ברנדן הסה
ברנדן הוא כותב עצמאי ויוצר תוכן מפורטלנד, OR. הוא מכסה טכנולוגיה וגיימינג עבור Lifehacker, וכתב גם עבור Digital Trends, EGM, Business Insider, IGN ועוד.