【내용출처】
Microsoft는 Windows Print Spooler에서 발생하는 취약점을 해결하기 위한 보안 업데이트를 출시하고 권고사항을 안내합니다.
CVE-2021-34527 Windows Print Spooler원격 코드 실행 취약성 요약 Windows인쇄 스풀러 서비스가 권한 있는 파일 작업을 제대로 실행하지 않을 경우, 리모트 코드 실행 취약성이 존재합니다.이 취약성 악용에 성공한 공격자는 시스템 권한을 사용하여 임의의 코드를 실행할 수 있습니다.이에 의한 공격자가 프로그램을 설치하거나 데이터를 보거나 변경하거나 삭제하거나 모든 사용자 권한을 가진 새로운 계정을 작성하거나 할 수 있습니다.업데이트 2021년 7월 6일:Microsoft가 조사를 마치고 이 취약성을 해결하기 위한 보안 업데이트를 발표했습니다.해당 업데이트를 즉시 설치하는 것을 추천합니다.이 업데이트를 설치할 수 없는 경우는, 이 취약성에서 시스템을 보호하는 방법에 관한 정보를 이 CVE의 FAQ및 해결 방법 섹션에서 확인하세요.2021년 7월 6일 이후에 발매되는 보안 업데이트는 CVE-2021-1675및”Print Nightmare”로 알려졌으며 CVE-2021-34527에 문서화된 Windows인쇄 스풀러 서비스의 추가적인 리모트 코드 취약성에 대한 보호를 제공합니다.
인기글
CVE-2021-34527 Windows Print Spooler원격 코드 실행 취약성 요약 Windows인쇄 스풀러 서비스가 권한 있는 파일 작업을 제대로 실행하지 않을 경우, 리모트 코드 실행 취약성이 존재합니다.이 취약성 악용에 성공한 공격자는 시스템 권한을 사용하여 임의의 코드를 실행할 수 있습니다.이에 의한 공격자가 프로그램을 설치하거나 데이터를 보거나 변경하거나 삭제하거나 모든 사용자 권한을 가진 새로운 계정을 작성하거나 할 수 있습니다.업데이트 2021년 7월 6일:Microsoft가 조사를 마치고 이 취약성을 해결하기 위한 보안 업데이트를 발표했습니다.해당 업데이트를 즉시 설치하는 것을 추천합니다.이 업데이트를 설치할 수 없는 경우는, 이 취약성에서 시스템을 보호하는 방법에 관한 정보를 이 CVE의 FAQ및 해결 방법 섹션에서 확인하세요.2021년 7월 6일 이후에 발매되는 보안 업데이트는 CVE-2021-1675및”Print Nightmare”로 알려졌으며 CVE-2021-34527에 문서화된 Windows인쇄 스풀러 서비스의 추가적인 리모트 코드 취약성에 대한 보호를 제공합니다.
레지스토리 위치 HKEY_LOCAL_MACHINE 소프트웨어\폴리시\Microsoft\Windows NT\프린터\포인트 앤 프린트 DWord 이 름 Restrict Driver Installation To Administrators 값 0– 기본값 1 – 관리자만 프린터 드라이버를 설치할 수 있음。 명령쉘로 추가(CMD) reg가 “HKEY_LOCAL_MACHINE\Software\”를 추가하는 정책\Microsoft\Windows NT\프린터\Point And Print”/v드라이버의 설치를 관리자로 제한한다/t REG_DWORD/d1/f
o업데이트 적용이 어려운 환경에서는 Print Spooler서비스를 중단하여 사용합니다.※Print Spooler비활성화 적용 전 업무 영향도 파악하고 실행하세요.인쇄 스프 라가 실행 중 또는 서비스가 사용 불가능으로 설정되지 않을 경우 다음 옵션 중 하나를 선택하고 인쇄 스풀러 서비스의 사용을 중단하거나 그룹 정책으로 인바운드 원격 인쇄의 사용을 중지합니다.옵션 1)Print Spooler서비스 사용 중지§GUI을 이용하는 방법1. 시작 검색창에서 “Services”를 검색하고 서비스를 실행합니다.2. Print Spooler서비스를 선택하고 오른쪽 클릭하고 속성을 선택합니다.3. 시작 유형의 값을 “미사용”로 선택합니다.4. 서비스 상태 아래에 있는 정지 버튼을 클릭하고 변경한 설정을 적용합니다.
§ PowerShell을 이용하는 방법 관리자 권한으로 PowerShell을 수행한 후 아래 명령을 수행하여 Print Spooler 서비스를 중지합니다.
[Stop-Service] – [Name Spooler] – [Force Set-Service] – [Name Spooler] – [스타트업] 타입 디세이블
해결 방법의 영향:인쇄 스풀러 서비스의 사용 정지는 로컬 및 리모트로 인쇄하는 기능을 모두 정지합니다.옵션 2)그룹 정책에 의한 인바운드 원격 인쇄의 사용의 중단도 다음과 같이 그룹 정책에 의해서 설정을 구성할 수 있습니다.1. 컴퓨터 구성/관리 템플릿/프린터 2. 원격 공격을 막기 위해서,”인쇄 스프 라가 클라이언트 접속을 받아들이는 것을 허용하는 “이라는 정책을 “미사용”로 설정합니다.3. 그룹 정책이 효과를 발휘하려면 인쇄 스풀러 서비스를 재기동할 필요가 있습니다.해결 방법의 영향:이 정책은 인바운드의 리모트인쇄 작업을 블로킹함으로써 원격 공격 벡터를 차단합니다.시스템은 더 이상 인쇄 서버로서 기능하지 않지만, 직접 접속된 기기에 대한 로컬 인쇄는 아직 가능합니다.상세에 대해서는, 이하의 링크를 클릭하십시오.✓ 프린터를 제어하기 위해서 그룹 정책 설정을 사용하는:https://docs.microsoft.com/ko-kr/troubleshoot/windows-server/printing/use-group-policy-to-control-ad-printero참고 문서보안 업데이트 가이드-Microsoft#Print Nightmare#Print#Spooler#취약성#보안 업데이트#권고#인쇄#스풀러#서비스#원격#코드는 실행#취약점