【译文】PrintNightmare：当打印变得危险（ESET 针对 PrintNightmare 的缓释措施）

zwl2828

1、Windows Print Spooler 补丁已出，但问题似乎仍然存在
随着最近关于 Windows Print Spooler 服务的 out-of-band（较难翻译）安全补丁似乎导致了打印问题的消息不断传出，微软正回滚 2021 年 6 月累积更新预览版的修复，这显然是打印问题的真正来源，而不是 PrintNightmare（又称 CVE-2021-34527 / CVE-2021-1675）的 out-of-band 补丁。

与打印问题无关，研究人员指出，旨在解决 PrintNightmare 漏洞的补丁未能完全修复问题，尽管它限制了可能的攻击范围。虽然微软认为更新是按设计进行的，但安全界的一些研究人员却不这么认为。争论的焦点似乎是问题的来源，一些注册表的不安全配置，以及忘记检查攻击者的恶意 DLL 路径的替代格式。

微软接下来还会做什么还有待观察，他们是否会在 2021 年 7 月 13 日，这个补丁星期二对 PrintNightmare 再次出手？

2、保持安全，打印还得继续
基于目前该补丁未能完成修复问题的情况下，ESET 发布了一些产品配置提示，帮助防止 PrintNightmare 漏洞危害你的系统。微软的变通建议是完全禁用打印线轴服务或通过组策略禁用远程打印。第一个选项会禁用该设备上的所有打印，包括本地和远程打印机，而第二个选项则是启用本地打印，但禁用本地打印机的远程打印。在整个网络中应用的话，这两种解决方法都会禁用所有的远程打印。

然而，一个不那么激进的方法是在 ESET 端点安全中设置规则，或通过 ESET PROTECT 下发策略，阻止对打印线轴服务的恶意使用。使用 ESET 的 HIPS，IT 管理员可以阻止 spoolsv.exe 向驱动程序文件夹写入新的 DLLs（这是远程利用 PrintNightmare 漏洞的必要因素），具体步骤如下：

1、打开 ESET Windows 产品主窗口

2、按 F5 进入高级设置

3、点击 检测引擎 > HIPS

4、向下滚动，单击 "编辑 "以访问 HIPS 规则


5、 点击 添加，随后配置一个新规则。在 HIPS 规则设置窗口中，你可以将规则命名为 "禁止 spoolsv.exe DLL写入"，然后阻止影响目标文件的操作（都在后续步骤中指定），并启用该规则，记录该规则的信息，用一个小的弹出窗口通知用户。完成后，进入下一步


6、在 "源应用程序 "窗口，从下拉菜单中选择 "特定应用程序"，然后点击添加

7、在 "添加 "窗口中，键入以下文件路径，点击确定，然后点击 "添加"（注意该文件路径是基于 Windows 安装在 C:\Windows 的系统，必要时可进行修改），随后进入下一步

1. C:\Windows\System32\spoolsv.exe

复制代码

8、启用 文件写入操作，然后点击下一步


9、在目标文件窗口，从下拉菜单中选择特定文件，然后点击添加

10、在添加窗口中，输入以下文件路径，点击确定，然后点击添加- 完成

1. C:\Windows\System32\spool\drivers\*

复制代码

11、完成后，新的规则应该看起来像这样：


12、点击两次确定，回到主程序窗口，启用新规则。

一旦启用，该 HIPS 规则应保持所有本地和远程打印功能不变（即打印到本地和远程打印机，以及接受远程提交到本地打印机的打印作业），但安装新打印机将失败：


已安装的打印机功能不受影响。如果已部署了这个 HIPS 规则，但需要在工作站上安装或配置一个新的打印机，那么就先暂时禁用这个规则，一旦安装了打印机就启用它。

最后，重要的是要记住，一旦微软发布了功能齐全的补丁，你的环境中完成部署后应该禁用该条规则。

感谢 ESET 荷兰首席技术官 Donny Maasland 和他的团队提出的这个建议及接下来的内容。对于那些使用 ESET 企业检查器 -- ESET 的端点检测和响应解决方案（EDR）的人，你可以创建自定义规则，检测 CVE-2021-1675 的利用。

PrintNightmare - Printer Spooler dropped .dll file [K1989A]，它检测spoolsv.exe将一个低信誉的DLL文件丢入spool drivers文件夹。
PrintNightmare - Printer Spooler loaded untrusted DLL [K1989B], 它检测到spoolsv.exe从spool drivers文件夹中加载了一个低信誉的DLL文件。
PrintNightmare - Printer Spooler executed cmd.exe [K1989C]，它检测到spoolsv.exe将cmd.exe作为一个子进程生成。

下载地址：https://github.com/dmaasland/eei-rules/tree/main/CVE-2021-1675

虽然这里引用的规则是为 ESET 企业检查器配置的，但应该可以将其调整为其他端点检测和响应平台。

此外，你可以在 ESET 的支持页面上跟踪围绕 PrintNightmare 迅速发展的情况：

https://support.eset.com/en/aler ... remote-code-exploit

zwl2828

笔者的企业环境中已启用了该条 HIPS 规则，几日内也会将 ESET 提供的 EDR 检测规则导入 EEI 中。

屁颠屁颠

@zwl2828

由于你发布的多篇优秀文章被论坛公众号采纳，论坛已奖励你 “优秀创作者” 勋章

期待你接下来更多的优秀文章

hui8du

谢谢，已设置。

a27573

原来ESET的HIPS是这样用到，学到了

InnoriaAlter

新鲜热乎的hips规则，学到了

这个规则适用于个人电脑嘛？

zwl2828

屁颠屁颠 发表于 2021-7-13 08:43
@zwl2828

由于你发布的多篇优秀文章被论坛公众号采纳，论坛已奖励你 “优秀创作者” 勋章

谢谢，我会努力分享。

zwl2828

InnoriaAlter 发表于 2021-7-13 11:20
新鲜热乎的hips规则，学到了

这个规则适用于个人电脑嘛？

单纯从规则本身来讲，其适用于商业和家庭环境。但针对这个漏洞本身，我觉得商业环境受到的影响远大于家庭环境。

如果家庭环境中无打印机，可以直接禁用打印服务，也就不需要再设定规则了。

InnoriaAlter

zwl2828 发表于 2021-7-13 19:53
单纯从规则本身来讲，其适用于商业和家庭环境。但针对这个漏洞本身，我觉得商业环境受到的影响远大于家庭 ...

也是~没有打印机直接禁运服务完事

这篇文章里面的规则算是官方hips规则又多了一条吧~

zwl2828

InnoriaAlter 发表于 2021-7-13 20:17
也是~没有打印机直接禁运服务完事

这篇文章里面的规则算是官方hips规则又多了一条吧~

（没有错