Как теперь шарить принтер не открывая уязвимость PrintNightmare?

Question

[ImVeryStupid]

С новым обновлением КВ5005033 при подключении к удалённому принтеру стала появляться ошибка 0x0000011b
Главный вопрос: как теперь с одного пк на другой поделиться принтером?
И ещё: получается мы до этого всё время были с открытой уязвимостью?

Comments

[hint000]

Уже много лет всем рекомендую покупать для офиса только сетевые принтеры, чтобы не надо было их шарить средствами винды. Это позволяет избежать не только некоторых уязвимостей, но и всевозможных виндовых глюков при печати. Хочется верить, что за эти годы хоть кто-то прислушался к этим рекомендациям.

[ImVeryStupid]

hint000, крутая идея, жаль 5 лет назад об этом не подумали

[hint000]

ImVeryStupid, у вас же, наверное, винда не торчит "голой задницей" в интернет (каким-то роутером отделена, может быть даже firewall настроен), так что уязвимость работает только в локальной сети. Оцените, насколько велики шансы, что в вашем офисе находится враг, который будет со своего компьютера эксплуатировать уязвимость соседнего компьютера (и не проще ли такому врагу сразу получить физический доступ?) Может быть есть гостевой открытый Wi-Fi, тогда действительно риск больше. Если же локальная сеть небольшая, посторонние не подключаются к сети, тогда опасность не велика и можно забить на уязвимость, откатить обновление и пользоваться принтером как раньше. Хотя надо обязательно учитывать ценность информации на этом ПК. Может быть там что-то стратегически важное для компании, тогда лучше не рисковать, а перенести расшаренный принтер на менее важный ПК. Еще вариант - купить принт-сервер (коробочка размером с 8-портовый свитч), и подключить принтер к нему.

[Роман]

hint000, оцените, насколько велики шансы, что какой нибудь альтернативно одаренный представитель внутри их локалки скачает из инета какую-нибудь гадость и запустит ее? А судя по вопросу автора, толкового админа у них нет, так что нет и запрета на скачку и запуск всякой гадости.

[hint000]

Роман, ну а что делать, печатать-то надо. :) Вся жизнь состоит из рискованных решений и компромиссов. Переходишь улицу - а там альтернативно одаренный водитель едет на красный свет. А чтобы не переходить улицу, надо быть или кем-то вроде президента страны, или кем-то вроде оленевода в тундре. Остальные оценят риск (сознательно или подсознательно) и сочтут его приемлемым.

[fpir]

hint000, бесплатно отдаю уязвимость, причём сразу с моральным оправданием: региональные отделения Philip Morris RU. Глобальный домен,на весь - ли ФМ или только на РУ - хз, сетевые принтеры, все принтеры в глобальном домене, 2 ви-фи, один на роутере, который держит ВПН, второй раздаёт на телефоны в той-же подсети, что и основной, с паролем типа 123.
Всё такое вкусное...
Так-что можно такое наворотить - специально будешь блекдор строить - не придумаешь.

Answer 1

[ImVeryStupid]

В реестре в папке

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

Создать DWord

RpcAuthnLevelPrivacyEnabled

со значением

0

Проблема уходит, уязвимость остаётся. Где-то читал, что есть разновидность этой уязвимости для атаки через интернет (не по локалке) - подтвердите/опровергните, кто может, пожалуйста

Answer 2

[ValdikSS]

Варианты вот такие:

Answer 3

[Дядька Серёжа]

Ждать обновлений как вариант и планировать действия в случае выявления эксплуатации уязвимости, на сегодня вроде есть патчи