PrintNightmare 상황은 화요일 패치에서 Microsoft가 문제를 해결해야 하는 변경 사항을 발표했을 때 해결된 것으로 보입니다. 그러나 PrintNightmare는 끝이 아닌 것 같습니다.
새로운 PrintNightmare 취약점
새로운 제로데이 인쇄 스풀러 취약점이 발견되었습니다. CVE-2021-36958로 추적되고 있으며 해커가 Windows PC에서 시스템 액세스 권한을 얻을 수 있도록 허용하는 것으로 보입니다.
이전 익스플로잇과 마찬가지로 이 익스플로잇은 Windows 인쇄 스풀러, Windows 인쇄 드라이버 및 Windows Point and Print에 대한 설정을 공격합니다.
익스플로잇은 벤자민 델피 (Bleeping Computer를 통해), 위협 행위자가 원격 인쇄 서버에 연결하여 시스템 액세스 권한을 얻을 수 있습니다. 마이크로소프트는 이후 “윈도우 프린트 스풀러 서비스가 권한 있는 파일 작업을 부적절하게 수행하는 경우 원격 코드 실행 취약점이 존재한다”고 문제를 확인했다.
누군가 이 취약점을 악용하면 할 수 있는 일에 대해 Microsoft는 “이 취약점을 성공적으로 악용한 공격자는 SYSTEM 권한으로 임의의 코드를 실행할 수 있습니다. 그런 다음 공격자는 프로그램을 설치할 수 있습니다. 데이터 보기, 변경 또는 삭제 또는 전체 사용자 권한으로 새 계정을 만드십시오.”
어떻게 자신을 보호할 수 있습니까?
불행히도 Microsoft가 이 새로운 취약점을 수정하기 위한 패치를 발표할 때까지 기다려야 합니다. 그 동안에는 인쇄 스풀러를 비활성화하거나 장치가 승인된 서버의 프린터만 설치하도록 허용할 수 있습니다.
후자를 활성화하려면 PC에서 그룹 정책을 편집해야 합니다. 그렇게 하려면 gpedit.msc를 시작한 다음 “사용자 구성”을 클릭합니다. 그런 다음 “관리 템플릿”을 클릭한 다음 “제어판”을 클릭합니다. 마지막으로 “프린터”로 이동하여 “패키지 지정 및 인쇄 – 승인된 서버”를 클릭합니다.
패키지 지정 및 인쇄 – 승인된 서버에 도달하면 인쇄 서버로 사용하거나 구성하도록 허용할 서버 목록을 입력한 다음 확인을 눌러 정책을 활성화합니다. 완벽한 솔루션은 아니지만 위협 행위자가 악의적인 드라이버로 인증된 인쇄 서버를 인수하지 않는 한 사용자를 보호하는 데 도움이 됩니다.
