Cara Mengurangi Kerentanan Microsoft Print Spooler – PrintNightmare

  • Whatsapp
Kerentanan Microsoft Print Spooler

Minggu ini, CetakMimpi Buruk – Kerentanan Print Spooler Microsoft (CVE-2021-34527) ditingkatkan dari kekritisan ‘Rendah’ ​​menjadi kekritisan ‘Kritis’.

Ini karena Proof of Concept yang diterbitkan di GitHub, yang berpotensi dimanfaatkan oleh penyerang untuk mendapatkan akses ke Pengontrol Domain.

Bacaan Lainnya

Seperti yang kami laporkan sebelumnya, Microsoft telah merilis tambalan pada Juni 2021, tetapi itu tidak cukup untuk menghentikan eksploitasi. Penyerang masih dapat menggunakan Print Spooler saat menghubungkan dari jarak jauh. Anda dapat menemukan semua yang perlu Anda ketahui tentang kerentanan ini di artikel ini dan bagaimana Anda dapat menguranginya (dan Anda bisa).

Cetak Spooler secara singkat: Print Spooler adalah layanan Microsoft untuk mengelola dan memantau pencetakan file. Layanan ini termasuk yang tertua di Microsoft dan memiliki pembaruan pemeliharaan minimal sejak dirilis.

Setiap mesin Microsoft (server dan titik akhir) memiliki fitur ini diaktifkan secara default.

Kerentanan PrintNightmare: Segera setelah penyerang memperoleh akses pengguna terbatas ke jaringan, ia akan dapat terhubung (langsung atau jarak jauh) ke Print Spooler. Karena Print Spooler memiliki akses langsung ke kernel, penyerang dapat menggunakannya untuk mendapatkan akses ke sistem operasi, menjalankan kode jarak jauh dengan hak istimewa sistem, dan akhirnya menyerang Kontroler Domain.

Pilihan terbaik Anda untuk mengurangi kerentanan PrintNightmare adalah dengan menonaktifkan Print Spooler di setiap server dan/atau stasiun kerja sensitif (seperti stasiun kerja administrator, stasiun kerja langsung yang menghadap internet, dan stasiun kerja non-cetak).

Inilah yang dilakukan oleh Dvir Goren, pakar pengerasan dan CTO Solusi Perangkat Lunak CalCom, menyarankan sebagai langkah pertama Anda menuju mitigasi.

Ikuti langkah-langkah ini untuk menonaktifkan layanan Print Spooler di Windows 10:

  1. Buka Mulai.
  2. Cari PowerShell, klik kanan padanya dan pilih Run as administrator.
  3. Ketik perintah dan tekan Enter: Stop-Service -Name Spooler -Force
  4. Gunakan perintah ini untuk mencegah layanan memulai kembali selama restart: Set-Service -Name Spooler -StartupType Disabled

Menurut pengalaman Dvir, 90% server tidak memerlukan Print Spooler. Ini adalah konfigurasi default untuk sebagian besar dari mereka, jadi biasanya diaktifkan. Akibatnya, menonaktifkannya dapat menyelesaikan 90% masalah Anda dan berdampak kecil pada produksi.

Dalam infrastruktur besar dan kompleks, sulit untuk menemukan di mana Print Spooler digunakan.

Berikut adalah beberapa contoh di mana Print Spooler diperlukan:

  1. Saat menggunakan layanan Citrix,
  2. Server faks,
  3. Aplikasi apa pun yang memerlukan pencetakan PDF, XPS, dll secara virtual atau fisik. Layanan penagihan dan aplikasi upah, misalnya.

Berikut adalah beberapa contoh ketika Print Spooler tidak diperlukan tetapi diaktifkan secara default:

  1. Pengontrol Domain dan Direktori Aktif – risiko utama dalam kerentanan ini dapat dinetralisir dengan mempraktikkan kebersihan dunia maya dasar. Tidak masuk akal untuk mengaktifkan Print Spooler di DC dan server AD.
  2. Server anggota seperti SQL, Sistem File, dan server Exchange.
  3. Mesin yang tidak memerlukan pencetakan.

Beberapa langkah pengerasan lain yang disarankan oleh Dvir untuk mesin yang bergantung pada Print Spooler meliputi:

  1. Ganti protokol Print Spooler yang rentan dengan layanan non-Microsoft.
  2. Dengan mengubah ‘Izinkan Print Spooler menerima koneksi klien’, Anda dapat membatasi akses pengguna dan driver ke Print Spooler ke grup yang harus menggunakannya.
  3. Nonaktifkan pemanggil Print Spooler di grup kompatibilitas Pra-Windows 2000.
  4. Pastikan Point and Print tidak dikonfigurasi ke No Warning – periksa kunci registri SOFTWARE/Policies/Microsoft/Windows NT/Printers/PointAndPrint/NoElevationOnInstall untuk nilai DWORD 1 dan ubah ke 0.
  5. Matikan EnableLUA – periksa kunci registri SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System/EnableLUA untuk nilai DWORD 0 dan ubah menjadi 1.

Inilah yang perlu Anda lakukan selanjutnya untuk memastikan organisasi Anda aman:

  1. Identifikasi di mana Print Spooler digunakan di jaringan Anda.
  2. Petakan jaringan Anda untuk menemukan mesin yang harus menggunakan Print Spooler.
  3. Nonaktifkan Print Spooler pada mesin yang tidak menggunakannya.
  4. Untuk mesin yang membutuhkan Print Spooler – konfigurasikan dengan cara meminimalkan permukaan serangannya.

Selain itu, untuk menemukan bukti potensi eksploitasi, Anda juga harus memantau entri log Microsoft-Windows-PrintService/Admin. Mungkin ada entri dengan pesan kesalahan yang menunjukkan bahwa Print Spooler tidak dapat memuat DLL modul plug-in, meskipun ini juga dapat terjadi jika penyerang mengemas DLL sah yang diminta oleh Print Spooler.

Rekomendasi terakhir dari Dvir adalah untuk mengimplementasikan rekomendasi ini melalui alat otomatisasi pengerasan. Tanpa otomatisasi, Anda akan menghabiskan waktu berjam-jam untuk mencoba mengeras secara manual dan mungkin berakhir rentan atau menyebabkan sistem mati

Setelah memilih tindakan Anda, a Alat otomatisasi pengerasan akan menemukan di mana Print Spooler diaktifkan, di mana mereka benar-benar digunakan, dan menonaktifkan atau mengkonfigurasi ulang secara otomatis.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *