Lassan összezavarodunk, hogy hány frissítés is érkezett, a hibát mégsem sikerült rendesen javítani

Hogy mi zajlik a Microsoft háza táján, azt többnyire nem könnyû megmondani, mindenesetre nem kizárt, hogy azért bukdácsolnak ennyit egy hónapokkal ezelõtt nyilvánosságra hozott biztonsági rés kijavításával, hogy végül a szuperbiztonságosnak ígért Windows 11 felé tereljék a felhasználókat. A PrintNightmare-rõl július óta tudunk, ám hiába a kazalnyi rendszerfrissítés, a helyzet csak annyit változott, hogy ha nem akarjuk a hibát, akkor nyomtatni sem fogunk.

Mondhatnánk, hogy csak a szokásos, idõnként felbukkanó zero day sebezhetõségek újabb példánya, mely elsõsorban rendszergazdai hozzáférést biztosíthat a visszaélésre vetemedõ támadók számára. A fellelhetõ források szerint a nyomtatáskezelés már régóta okoz fejtörést a Windows fejlesztõinek. És persze a felhasználóinak is, mivel az elmúlt években többször is bejáratot biztosított illetéktelen behatolóknak, egy urándúsító létesítmény feltörése esetén pedig jogosan érezhetünk némi nyugtalanságot. Úgy tûnik, hogy hiába a küzdelem, a Microsoft nem tud dûlõre jutni a dologgal, hiszen a júliusban CVE-2021-34527 azonosító alatt szereplõ PrintNightmare biztonsági rést elvileg még abban a hónapban betapasztották, de bármilyen meglepõ, a KB5004945 számmal ellátott update sajnos volt, ahol több gondot okozott, mint amennyit megoldott, így végül sok esetben jobb volt inkább eltávolítani és várni, hogy a Microsoft javítsa a javítását.

A Print Spooler szolgáltatás hibájára július 6-án kibocsátott megoldócsomag ugyanis több, különbözõ gyártóktól származó nyomtatókészüléken is komoly mûködési hibákat okozott. Volt olyan nagykereskedõ, aki végül inkább törölte a frissítést és az ügyfeleknek is csak ezt tudta javasolni, amennyiben szerették volna mûködésre bírni a nyomtatójukat. A Microsoft nem sokkal a panaszáradat megérkezése után elismerte a több márkán átívelõ hibát, miszerint fõleg a címkenyomtatókon, illetve az USB kapcsolattal csatlakoztatott eszközöknél jelentkezett, majd jobb híján jelezte, hogy dolgoznak a megoldáson. A megoldás azonban nem egészen úgy sikerült, ahogy azt már elég sokan remélték, márpedig céges környezetben frusztráló lehet, ha egy bizonyos típusú nyomtatót használnak, melybõl így vagy egyik sem mûködik, vagy a cég kénytelen nyitva hagyni a biztonsági rést, melynek befoltozása erõsen javasolt. Végül az elõzõ kedden esedékes frissítéssel megérkezett a CVE-2021-36958 kódszámú hiba javítása is, mely az akkori tesztek szerint megakadályozza kéretlen hozzáférések és rendszermódosítások lehetõségét.

A gond csak az, hogy újabb elkeseredett és dühös hangulatú beszámolók kezdtek el záporozni a Microsoft irányába, melyek többsége a telepíthetetlen hálózati nyomtatók problémájára hivatkozott. A Windows 10, Server 2012 és R2, 2016 és 2008 rendszerverziókat biztosan érintõ nehézségek tehát otthoni és vállalati környezetben egyaránt fejtörést okoztak, a hálózati nyomtatás pedig különbözõ hibakódok és felugró üzenetek kíséretében került visszautasításra. A rendszer számos esetben megtagadta vagy megszakította a telepítési kísérleteket, és ha lehetséges, a helyzet csak tovább romlott a legutóbbi állapotokhoz képest. Ezúttal ugyanis a HP-tõl a Canonig szinte az összes ismertebb gyártó érintetté vált, a hiba ráadásul nem válogatott a Type 3 és Type 4 típusú illesztõprogramok között sem. Igaz, állítólag most közvetlen USB-s összeköttetés esetén nem tapasztalták. A visszajelzések alapján ezúttal is egy módszer nyújtott gyors segítséget, vagyis Windows 10 esetén a korábban telepített KB5005565, illetve KB5005566 biztonsági pakkok törlése.

A BleepingComputer szerint a javítások eltávolítása megszünteti a hibaüzeneteket és helyreállítja a szoláltatást, cserébe a PrintNightmare és az MSHTML sérülékenységeket is fedetlenül hagyja, melyek adataik szerint szerint a támadók által ismertek és egy ideje már aktívan vissza is élnek velük. Az oldal jobb híján a KB5005565 törlése helyett inkább azt javasolja, hogy a Registry-ben, avagy a regisztrációs adatbázisban kutassuk fel a [HKEY_LOCAL_MACHINE - System - CurrentControlSet - Control - Print] részt. Itt hozzunk létre egy új DWORD-32 bites értéket RpcAuthnLevelPrivacyEnabled néven, majd állítsuk 0-ra, úgy, ahogy a mellékelt képes illusztráción látható. Fontos megjegyezni, hogy ezzel lényegében védtelenek leszünk a CVE-2021-1678 néven listázott sebezhetõséggel szemben, viszont a nyomtatás elvileg újra mûködni fog.

Amennyiben a fent mutatott beállítás elvégzése nem sikerülne, az oldal elõre elkészített egy módosítófájlt fix-0x0000011b.reg néven, melyet elég elindítani és a mûveletet elvégzi helyettünk. Amennyiben a nyomtatás nem áll helyre még ezután sem, érdemes inkább visszavonni, így legalább a védelem aktív marad. A visszaállításhoz szükséges enable-RpcAuthnLevel.reg fájl ide kattintva elérhetõ.