Sangfor的研究人员近期意外发布了针对微软Windows打印后台处理程序服务中一个未修复关键漏洞的概念验证(PoC)攻击代码。该漏洞被命名为"PrintNightmare",允许攻击者以系统级权限远程执行代码。尽管Sangfor在发现泄露后迅速删除了PoC代码,但损害已然造成——该代码早已出现在GitHub平台上。
尽管Windows打印后台处理程序已是陈旧组件,但它依然无处不在。由于该漏洞为恶意行为者打开了安装程序、篡改数据及创建新管理员账户的大门,您或许需要评估所有能够访问公司系统和数据的第三方响应措施。
关于Windows打印后台处理程序漏洞,需向第三方提出的6个问题
Prevalent已准备了六个关键问题,用于询问第三方以确定其对该零日漏洞的暴露程度及应对措施。详见下表。
| 问题 | 可能的对策 |
|---|---|
| 1) 该组织是否已确认是否受到近期Windows打印后台处理程序远程代码执行漏洞的影响? (请选择一项)。 | a) 该组织已审查并确认其受到近期Windows打印后台处理程序远程代码执行漏洞的影响。 b) 该组织已审查并确认,其未受近期Windows打印后台处理程序远程代码执行漏洞的影响。 |
| 2) 2021年7月1日至7日期间,Windows Server 2012、Windows Server 2016、Windows 7、Windows 8及Windows 10系统均发布了安全更新。贵组织是否已为其Windows系统应用了必要的安全更新? (请选择一项)。 | a) 是的,该组织已下载并应用了补丁。 b) 不,该组织无法为其系统应用安全补丁。 c) 不,该组织尚未在其系统上应用安全补丁。 |
| 3) 该组织是否仍在运行打印后台处理程序服务? (请选择一项)。 | a) 是的,该组织要求打印后台处理程序服务必须运行。 b) 该组织要求打印后台处理程序服务不得设置为已禁用状态。 c) 不,打印后台处理程序服务已设置为禁用状态。 |
| 4) 若组织要求打印后台处理程序服务继续运行,是否已采取以下措施? 选项 1:禁用打印后台处理程序服务将同时禁用本地和远程打印功能。 选项 2:禁用入站远程打印功能将阻止远程攻击途径,通过阻止入站远程打印操作实现防护。系统将不再作为打印服务器运行,但本地设备仍可直接连接打印机进行打印。 (请选择所有适用的选项)。 | a) 禁用打印后台处理程序服务已被认定为符合本组织的需要,并已实施PowerShell命令来停止后台处理程序服务并禁用其启动功能。 b) 该组织已通过组策略禁用了入站远程打印功能。 c) 该组织尚未禁用打印后台处理程序服务或入站远程打印功能。 |
| 5) 根据微软的指导建议,是否已审查并更新了以下注册表设置? (请选择所有适用的选项)。 | a) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint b) NoWarningNoElevationOnInstall = 0(DWORD)或未定义(默认设置) c) UpdatePromptSettings = 0(DWORD)或未定义(默认设置) |
| 6) 根据微软的指导建议,若组织已确认自身受到该漏洞影响,是否已将"指点和打印限制"组策略修改为安全配置? (请选择所有适用的选项)。 | a) 指向和打印限制组策略设置已配置为“已启用”。 b) 已将“显示警告和权限提升提示”选为“安装新连接驱动程序时”的安全提示选项。 c) 已为“更新现有连接的驱动程序时”选项选择“显示警告和权限提升提示”作为安全提示。 第三方事件响应与数据泄露监控的后续步骤 |
Prevalent通过提供统一管理供应商、执行针对性事件评估、风险评分及获取修复指导的平台,助力企业快速识别并缓解PrintNightmare等漏洞的影响。第三方事件响应服务作为托管服务,可协助团队卸载关键响应数据收集任务,使其能专注于风险修复工作。
作为事件响应服务的补充,Prevalent的持续网络安全与业务违规监测解决方案可定期提供违规披露、负面新闻事件及网络安全事件(如供应商涉及的恶意暗网活动)的更新。这些解决方案协同运作,助力实现安全事件的自动化发现并加速响应流程。
立即联系我们,了解Prevalent如何助您实现对第三方安全控制措施和流程的可视化管理。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
