Solusi untuk Kerentanan Eksekusi Kode Jarak Jauh Windows Print Spooler

Coba Instrumen Kami Untuk Menghilangkan Masalah

Microsoft diungkapkan kerentanan eksekusi kode jarak jauh baru di Windows baru-baru ini yang menggunakan Windows Print Spooler. Kerentanan dieksploitasi secara aktif dan Microsoft menerbitkan dua solusi untuk melindungi sistem agar tidak diserang.

Informasi yang diberikan tidak cukup, karena Microsoft bahkan tidak mengungkapkan versi Windows yang terpengaruh oleh masalah keamanan. Dari kelihatannya, tampaknya mempengaruhi pengontrol domain untuk sebagian besar dan bukan sebagian besar komputer rumah, karena memerlukan pengguna yang diautentikasi jarak jauh.

Memperbarui : Microsoft merilis update out of band untuk mengatasi kerentanan terkait pencetakan. Anda menemukan tautan ke tambalan di halaman Microsoft ini . Akhir

0Tambalan , yang telah menganalisis tambalan, menyarankan bahwa masalah tersebut terutama memengaruhi versi Windows Server, tetapi sistem Windows 10 dan server non-DC juga dapat terpengaruh jika perubahan telah dilakukan pada konfigurasi default:

UAC (Kontrol Akun Pengguna) sepenuhnya dinonaktifkan
PointAndPrint NoWarningNoElevationOnInstall diaktifkan

CVE menawarkan deskripsi berikut:

Kerentanan eksekusi kode jarak jauh terjadi saat layanan Windows Print Spooler melakukan operasi file yang diistimewakan dengan tidak benar. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode arbitrer dengan hak istimewa SISTEM. Penyerang kemudian dapat menginstal program; melihat, mengubah, atau menghapus data; atau buat akun baru dengan hak pengguna penuh.

Serangan harus melibatkan pengguna yang diautentikasi yang memanggil RpcAddPrinterDriverEx().

Harap pastikan bahwa Anda telah menerapkan pembaruan keamanan yang dirilis pada 8 Juni 2021, dan lihat bagian FAQ dan Solusi di CVE ini untuk informasi tentang cara membantu melindungi sistem Anda dari kerentanan ini.

Microsoft memberikan dua saran: untuk menonaktifkan layanan Print Spooler atau menonaktifkan pencetakan jarak jauh masuk menggunakan Kebijakan Grup. Solusi pertama menonaktifkan pencetakan, lokal dan jarak jauh, pada perangkat. Ini mungkin solusi pada sistem di mana fungsi cetak tidak diperlukan, tetapi sebenarnya bukan pilihan jika pencetakan dilakukan pada perangkat. Anda dapat mengaktifkan Print Spooler sesuai permintaan, tetapi itu bisa menjadi gangguan dengan cepat.

Solusi kedua memerlukan akses ke Kebijakan Grup, yang hanya tersedia di Windows versi Pro dan Perusahaan.

Berikut adalah keduanya solusi:

kerentanan pencetakan jarak jauh windows

Untuk menonaktifkan spooler cetak, lakukan hal berikut:

  1. Buka prompt PowerShell yang ditinggikan, mis. dengan menggunakan Windows-X dan memilih Windows PowerShell (Admin).
  2. Jalankan Get-Service -Name Spooler.
  3. Jalankan Stop-Service -Name Spooler -Force
  4. Stop-Service -Name Spooler -Force
  5. Set-Service -Name Spooler -StartupType Dinonaktifkan

Perintah (4) menghentikan layanan Print Spooler, perintah (5) menonaktifkannya. Perhatikan bahwa Anda tidak akan dapat mencetak lagi saat melakukan perubahan (kecuali Anda mengaktifkan layanan Print Spooler lagi.

izinkan spooler cetak menerima koneksi klien

Untuk menonaktifkan pencetakan jarak jauh masuk, lakukan hal berikut:

  1. Buka Mulai.
  2. Ketik gpedit.msc.
  3. Muat Editor Kebijakan Grup.
  4. Pergi ke Konfigurasi Komputer / Template Administratif / Printer.
  5. Klik dua kali pada Allow Print Spooler untuk menerima koneksi klien.
  6. Setel kebijakan ke Dinonaktifkan.
  7. Pilih oke.

0Patch telah mengembangkan dan menerbitkan micropatch yang memperbaiki masalah Eksekusi Kode Jarak Jauh Print Spooler. Patch dibuat untuk Windows Server hanya pada saat itu, khususnya Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 dan Windows Server 2019.