與微軟Windows打印機的相關問題的噩夢揮之不去,今天早些時候,該公司確認了Windows Print Spooler服務的一個新的安全漏洞。這個新的漏洞被編號為CVE-2021-36958。微軟表示,當Windows Print Spooler服務不適當地執行特權文件操作時,存在一個遠程代碼執行的漏洞,成功利用該漏洞的攻擊者可以用系統權限運行任意代碼。
然後,攻擊者可以安裝程序;查看、更改或刪除數據;或創建具有完全用戶權限的新賬戶。
那些一直密切關注此事的人可能會注意到,這個新問題與正在發生的PrintNightmare漏洞有關,該公司幾天前曾為此發布了一個補丁。微軟聲稱,該補丁應該在很大程度上有助於緩解這個問題,因為它現在需要管理員權限來實現打印驅動的安裝和更新操作。然而,在已經安裝了打印機驅動程序的系統上,可能是威脅者的非管理員用戶仍然可以利用該漏洞。
值得注意的是,該漏洞被標記為遠程代碼執行(RCE),但CERT的Will Dormann表示,這顯然是本地權限升級漏洞(LPE)。事實上,在該漏洞的文檔中,微軟自己將攻擊媒介描述為本地。
微軟對此正在進行修復工作,並再一次建議用戶在非必要的情況下禁用Windows Print Spooler服務作為臨時的變通辦法。然而,安全研究員Benjamin Delpy說他有一個比完全禁用打印服務更好的方法。建議用戶通過使用Windows組策略中的Windows”Package Point and Print – Approved Servers”選項,將打印功能只限制在批准的服務器上。
微軟還提供了更多利用組策略解決打印安全問題的細節匯總:
https://docs.microsoft.com/en-us/troubleshoot/windows-server/printing/use-group-policy-to-control-ad-printer