美國國土安全部之網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA) 已發布關於關鍵 PrintNightmare 零日漏洞的說明,並建議資安人員在不用於列印的伺服器上停用(Disable) Windows Print Spooler 列印緩衝處理服務。
CISA表示,CERT 協調中心已針對 Windows Print spooler 服務中的一個關鍵遠端程式碼執行漏洞發布了VulNote,並指出:“雖然 Microsoft 已發布針對 CVE-2021-1675的更新,但更新並未解決CVE-2021-1675 的公共漏洞利用。” 攻擊者可以利用此漏洞(稱 PrintNightmare)來控制受影響的系統。
CISA 鼓勵資安人員應採用 Microsoft 在2021 年 1 月 11 日發布的操作指南作最佳實踐:“由於存在暴露的可能性,網域控制器和AD管理系統需要停用列印後台處理程式服務,推薦的方法是使用群組原則(Group policy object)。
根據 Microsoft 的建議,應通過群組原則在所有網域控制器和 AD管理系統上停用Print Spooler 服務,因為它會增加遭受攻擊的風險,微軟補充說,由於大多數 Windows 客戶端和伺服器平台上預設啟用這服務,建議在所有不需要的伺服器上停用它,以減輕未來受攻擊的風險。
目前,在Microsoft完全解決PrintNightmare零日漏洞之前,停用Print Spooler 服務是確保駭客,尤其是勒索軟體組織不會趁機攻擊企業網路的最簡單方法。