꿈을꾸는 파랑새

반응형

마이크로소프트에서 프린터 인쇄를 하려면 프린터 스풀러(Print Spooler)을 사용을 해야 합니다. 몇 달 전 해당 취약점이 공개되었고 마이크로소프트에서는 해당 부분을 프린터를 사용하지 않는 경우 해당 기능을 프린터 사용을 제한하라고 했고 2021년7월에 마이크로소프트에서는 CVE-2021-1675 및 CVE-2021-34527 취약점을 해결하기 위한 긴급 업데이트를 통해서 해당 문제를 해결했습니다. 최근 Vice Society ransomware(Vice Society 랜섬웨어)가 프린터 스풀러(Print Spooler) 취약점인 PrintNightmare(프린터 나이트메어)를 취약점을 적극적으로 활용하는 랜섬웨어에 해당 취약점을 악용하는 기능이 추가되었습니다. 물론 다른 악성코드들도 해당 보안 취약점을 악용해서 공격할 것으로 예상이 됩니다. 일단 현재 발생하는 취약점은 CVE 코드가 붙여지지 않았고 현재 마이크로소프트에서 조사하고 있습니다.
현재 알려진 정보는 다음과 같습니다.
Windows 인쇄 스풀러 서비스가 권한 있는 파일 작업을 부적절하게 수행하는 경우 원격 코드 실행 취약점이 존재 해당 취약점 악용에 성공한 공격자는 SYSTEM 권한으로 임의 코드를 실행할 수 있으며 그런 다음 공격자는 프로그램을 설치할 수 있습니다. 데이터 보기, 변경 또는 삭제 또는 전체 사용자 권한으로 새 계정을 만드는 것도 가능합니다.
일단 현재 앞서 이야기한 것처럼 연구 중이기 때문에 어떤 운영체제에 영향을 받는지 알려 지지 않았으면 해당 문제가 파악되면 보안 업데이트 를 진행을 할 것입니다.
일단 프린터 스풀러를 비활성화 방법에 대해 알아보겠습니다.

파워셀을 이용한 프린터 스풀러 중지

먼저 PowerShell을 통해 인쇄 스풀러 비활성화
먼저 PowerShell를 관리자 권한으로 실행합니다.
Get-Service -Name Spooler 프린터 상태를 가져 옵니다.
Stop-Service -Name Spooler -Force 프린터스풀러 기능 중지
Set-Service -Name Spooler -StartupType Disabled를 통해서 시스템 시작 시 서비스가 활성화되지 않도록 서비스의 시작 유형을 로 설정 변경을 해줍니다.
를 차례대로 입력해줍니다.

Print Spooler 중지

작업 관리자를 통한 서비스 중지
먼저 윈도우 키 +R를 눌러서 services.msc를 실행을 해줍니다.


그러면 윈도우 서비스들을 관리할 수 있는 서비스 항목이 실행될 것입니다. 여기서 Print Spooler를 찾아서 해당 부분을 더블 클릭해서 해당 부분을 시작 유형 사용 안 함
서비스 상태 중지를 선택하고 확인을 눌러줍니다.
그러면 프린터 스풀러 기능은 완전히 중지될 것입니다.
여기서 나는 프린터를 사용해야 하면 다음과 같은 조처를 합니다.

[소프트웨어 팁] - 윈도우10 홈 버전 로컬 그룹 정책 편집기 gpedit.msc 사용방법

윈도우10 홈 버전 로컬 그룹 정책 편집기 gpedit.msc 사용방법

오늘은 윈도우10 홈 버전 로컬 그룹 정책 편집기 gpedit.msc 사용방법에 대해 알아보겠습니다.일단 기본적으로 gpedit.msc 는 윈도우 프로 버전에서만 사용이 되기 떄문에 로컬정책편집기를 사용을 하

wezard4u.tistory.com

CVE-2021-36958 취약점 완화
즉 해당 기능을 비활성화하면 안전하게 컴퓨터를 사용할 수가 있지만, 프린터를 사용할 수가 없게 되는 것이 단점입니다. 해당 문제를 해결하기 위해서 관리자가 아닌 사용자는 인쇄 서버가 승인된 목록에 없는 경우 지정하여 인쇄를 사용하여 인쇄 드라이버를 설치할 수 없게 제한을 거는 방법입니다.
일단 방법은 그룹정책편집기 기능이 활성화돼 있어야 합니다. 그래서 해당 기능을 사용하지 못하는 윈도우 10 홈 버전 같은 경우 지난 시간에 소개해 드린 방범대로 그룹정책편집기(gpedit.msc)를 설치를 하고 나서 해당 방법을 대로하시면 됩니다.
사용자 구성->관리 템플릿->제어판->프린터->패키지 지정 및 인쇄-승인된 서버로 이동합니다. 패키지 지정 및 인쇄-승인된 서버를 선택하고 나서 클릭을 합니다. 그러면 도움말에 다음과 같이 돼 있는 것을 확인할 수가 있습니다.

패키지 지정하여 인쇄 승인된 서버

패키지 지정하여 인쇄를 승인된 서버로 제한합니다.
이 정책 설정은 패키지 지정하여 인쇄 연결을 승인된 서버로 제한합니다. 이 설정은 패키지 지정하여 인쇄 연결에만 적용되며 패키지 지정하여 인쇄가 아닌 연결 동작을 제어하는 "지정하여 인쇄 제한" 정책과는 완전히 별개입니다.
Windows Vista 이상 클라이언트는 이 정책에 의해 시도가 차단되는 경우를 비롯하여 패키지 지정하여 인쇄 연결이 실패할 때마다 비패키지 지정하여 인쇄 연결을 수행하려고 시도합니다. 관리자는 특정 인쇄 서버에 대한 모든 인쇄 연결을 차단하기 위해 두 가지 정책을 모두 설정해야 할 수 있습니다.
이 설정을 사용하면 사용자는 네트워크 관리자가 승인한 인쇄 서버에 대해서만 패키지 지정하여 인쇄를 수행할 수 있습니다. 패키지 지정하여 인쇄를 사용할 때 클라이언트 컴퓨터는 인쇄 서버에서 다운로드한 모든 드라이버의 드라이버 서명을 확인합니다.
이 설정을 사용하지 않거나 구성하지 않으면 패키지 지정하여 인쇄가 특정 인쇄 서버로 제한되지 않습니다.
정책을 전환할 때 인쇄 서버로 사용하도록 허용할 서버 목록을 입력한 다음 눌러 확인 을 정책을 활성화해줍니다. 네트워크에 인쇄 서버가 없는 경우 가짜 서버 이름을 입력하여 기능을 활성화할 수 있습니다. 이렇게 하면 그룹 정책을 사용하면 CVE-2021-36958 익스플로잇에 대해 최상의 보호를 제공할 수 있지만, 위협 행위자가 악의적인 드라이버로 인증된 인쇄 서버를 탈취하는 것을 막지는 못합니다.
일단 가장 좋은 방법은 프린터를 어쩔 수 없이 사용을 해야 하면 이렇게 그룹정책편집기를 사용해서 임시로 보안 업데이트 가 나올 때까지 임시방법으로 대응해야 할 것입니다.
이 그룹 정책을 사용하면 CVE-2021-36958 익스플로잇에 대해 최상의 보호를 제공할 수 있지만, 위협 행위자가 악의적인 드라이버로 인증된 인쇄 서버를 탈취하는 것을 막지는 못합니다.

반응형
그리드형

댓글

비밀글모드