微软:确实存在另一枚 print spooler 0day,目前尚未修复

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

微软为另外一个 Windows Print Spooler 0day 漏洞发布安全公告。该漏洞编号为 CVE-2021-36958,可导致攻击者获得系统权限。

该漏洞属于 “PrintNightmare” 系列漏洞,它们滥用 Windows Print Splooer、打印机驱动以及 Windows Point and Print 特性。微软在7月和8月均发布安全更新,修复多个 PrintNightmare 漏洞。

然而,安全研究员 Benjamin Delpy 披露的这个漏洞仍然可使威胁行动者仅通过连接到远程 print 服务器即可快速获得系统权限。当用户连接到打印机时,该漏洞使用 CopyFile 注册表指令连同打印机驱动将打开命令提示符的 DLL 文件复制到客户端。虽然微软最近发布的安全更新更改了新的打印机驱动安装程序,要求获得管理员权限才能进行,但如果驱动机已安装,则无需输入管理员权限即可连接到打印机。

另外,如果客户端上存在驱动,则无需安装,而非管理员用户连接到远程打印机时,仍然需要执行 CopyFile 指令。该弱点使DLL 被复制到客户端并执行,打开系统级别的命令提示符。

微软发布 CVE-2021-36958 安全公告

微软发布安全公告称,“当 Windows Print Spooler 服务不正确地执行提权文件操作时会触发远程代码执行漏洞。成功利用该漏洞的攻击者可以系统权限运行任意代码,安装程序;查看、更改或删除数据;或以完整的用户权限创建新账户。“

微软指出,缓解措施是“停止并禁用 Print Spooler 服务“。

美国CERT/CC 的漏洞分析是 Will Dormann 指出,微软证实 CVE-2021-36958 和上述 Delpy 披露的漏洞相对应。

在安全公告中,微软致谢 Accenture Security公司的研究员 Victor Mata,他在2020年12月就已发现该漏洞并提交给微软。

令人不解的是,微软将其归类为远程代码执行漏洞,尽管攻击需要本地执行。Dormann指出,从该漏洞的CVSS评分 6.8分来看,“显然是本地提权漏洞”,并指出微软刚刚收回之前的漏洞描述。未来几天,微软可能会更新该安全公告,将“影响”评级改为“提权”。

缓解措施

微软尚未发布安全更新,不过表示可以通过禁用 Print Spooler 的方式删除该攻击向量。

由于禁用 Print Spooler 将阻止设备打印,因此更好的方法是仅允许自己的设备从授权服务器安装打印机。

通过“Package Point and print – Approved servers” 组策略即可设置这一限制,除非打印机服务器在获批准列表上,则非管理员用户无法使用 Point and Print 来安装打印机驱动器。如需启动该策略,则启动 Group Policy Editor (gpedit.msc) 并导航至 User Configuration > Administrative Templates > Control Panel > Printers > Package Point and Print – Approved Servers(用户配置 > 管理员模板> 控制台> 打印机 > 程序包 Point and Print – 已批准服务器)。

打开策略后,输入想要作为打印机服务器的服务器列表,之后点击确定启用该策略。如网络上不存在打印机服务器,则可输入虚假服务器名称以启用该特性。虽然应用该组策略将在最大程度上免受 CVE-2021-36958 exploit 攻击,但无法阻止攻击者通过恶意驱动器接管授权打印机服务器。

推荐阅读

微软8月补丁星期二值得关注的几个0day、几个严重漏洞及其它

微软公开PrintNightmare系列第3枚无补丁0day,谷歌修复第8枚已遭利用0day

PrintNightmare 漏洞的补丁管用吗?安全界和微软有不同看法

Windows PrintNightmare 漏洞和补丁分析

原文链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-another-windows-print-spooler-zero-day-bug/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值