Microsoft сообщила о том, что хакеры нашли критическую уязвимость в Windows и активной ее используют. Компания уже работает над патчем, который закрывает эту дыру. Между тем, компания посоветовала пользователям отключить службу принтеров, до готовности патча.
Уязвимость PrintNightmare использует баг в службе принтера Windows Print Spooler и позволяет удаленное выполнение кода.
Служба принтера Windows является программным сервисом, который контролирует и централизованно управляет печатью документов. Именно она начинает работать, когда вы нажимаете клавишу печати в программе. Она получает данные для печати от программы и контролирует готовность принтера ее выполнить. Также эта служба контролирует очередь на распечатку.
Служба принтера имеет доступ ко всем компонентам операционной системы, что делает ее интересной мишенью для злоумышленников.
Утечка информации об уязвимости PrintNightmare произошел случайно. Китайская компания в сфере кибербезопасности Sangfor опубликовала доказательство использования этой уязвимости на своей странице в GitHub. Код быстро удалили, но его успели скопировать.
Пока нет защиты от PrintNightmare в Microsoft советуют уберечься от атаки через эту уязвимость отключением службы. Это можно сделать через PowerShell или через групповые политики.
В PowerShell необходимо ввести команды:
Input Stop-Service -Name Spooler -Force
Input Set-Service -Name Spooler -StartupType Disabled
В редакторе групповых политик gpedit.msc необходимо перейти в раздел Конфигурация компьютера> Административные шаблоны> Принтеры. В этом меню необходимо найти опцию, позволяющую Print Spooler принимать соединения и отключить ее.