6 月底有保安專家發現 Windows 列印多工緩衝處理器有漏洞,這個被稱為「 PrintNightmare 」的漏洞讓攻擊者可以遠端取得系統權限執行任意程式碼。 Microsoft 日前推出緊急更新,不過有保安專家就認為這個更新不單沒有徹底解決問題,反而會令試圖利用漏洞的情況增加。
這個漏洞編號 CVE-2021-34527 和 CVE-2021-1675 ,受影響的 Windows 版本包括 Windows 7-10 以至 Windows Server 2008 、 2004 、 2012 、 2016 及 2019 ,範圍相當廣泛。由於出現問題的 Windows 列印多工緩衝服務在 Windows 系統裡是預設開啟的,包括網域控制伺服器和具備系統管理權限的電腦,所以相當危險。
Microsoft 7 月 6 日就推出了 7 月頻外( Out-of-Band )更新,同時也為早已不再支援的 Windows 7 等舊作業系統推出更新。安裝了這個緊急更新後,過去能在打印伺服器上安裝已簽署或未簽署打印機驅動程式的非管理人,包括獲授權管理群組的打印機操作員,現在都不可以安裝未簽署的打印機驅動程式,現在只有具有系統管理員權限的人才能安裝未經簽署的打印機驅動程式。
不過 Kaspersky 的專家就指這個更新並不完整,實際上未解決問題,不幸的是有研究員因為有修正檔推出而公開了這漏洞的槪念驗證程式碼。雖然程式碼很快已被刪除,但相信已有不法之徒已把程式碼存檔用來研究。 Kaspersky 的專家預料試圖利用 PrintNightmare 漏洞攻擊系統的情況會增加。
不過無論如何,大家都應該先立即進行 Windows Update 安裝官方修正檔,而Kaspersky 專家強烈呼籲用戶如沒需要打印,應該關閉 Windows 列印多工緩衝服務,尤其是網域控制伺服器更不大可能需要打印。同時, Kaspersky 指所有伺服器和電腦都需要有可靠的端點安全解決方案,來防止不法分子試圖利用已知或未知的漏洞。
如何關閉 Windows 10 的列印多工緩衝服務
- 右擊左下角「視窗」圖示,並在選單中選取「電腦管理」;
- 在「電腦管理」視窗左邊欄選擇「服務與應用程式>服務」,然後在中間欄找尋「 Print Spooler 」,雙擊它;
- 在打開的「 Print Spooler 內容」介面裡,先在「服務狀態」欄按「停止」停止服務;
- 為免打印多工緩衝服務在下次開機時重啟,在「啟動類型」下拉選單中選擇「已停用」,然後按「套用」和「確定」結束。
- 你可以在「電腦管理>服務與應用程式>服務> Print Spooler 」一欄中,看到「已停用」字樣。