微软:确实存在另一枚 print spooler 0day,目前尚未修复

admin 2021年12月8日11:12:28安全漏洞评论62 views1887字阅读6分17秒阅读模式

微软:确实存在另一枚 print spooler 0day,目前尚未修复 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


微软:确实存在另一枚 print spooler 0day,目前尚未修复

微软为另外一个 Windows Print Spooler 0day 漏洞发布安全公告。该漏洞编号为 CVE-2021-36958,可导致攻击者获得系统权限。


该漏洞属于 “PrintNightmare” 系列漏洞,它们滥用 Windows Print Splooer、打印机驱动以及 Windows Point and Print 特性。微软在7月和8月均发布安全更新,修复多个 PrintNightmare 漏洞。

然而,安全研究员 Benjamin Delpy 披露的这个漏洞仍然可使威胁行动者仅通过连接到远程 print 服务器即可快速获得系统权限。当用户连接到打印机时,该漏洞使用 CopyFile 注册表指令连同打印机驱动将打开命令提示符的 DLL 文件复制到客户端。虽然微软最近发布的安全更新更改了新的打印机驱动安装程序,要求获得管理员权限才能进行,但如果驱动机已安装,则无需输入管理员权限即可连接到打印机。

另外,如果客户端上存在驱动,则无需安装,而非管理员用户连接到远程打印机时,仍然需要执行 CopyFile 指令。该弱点使DLL 被复制到客户端并执行,打开系统级别的命令提示符。


微软:确实存在另一枚 print spooler 0day,目前尚未修复
微软发布 CVE-2021-36958 安全公告


微软发布安全公告称,“当 Windows Print Spooler 服务不正确地执行提权文件操作时会触发远程代码执行漏洞。成功利用该漏洞的攻击者可以系统权限运行任意代码,安装程序;查看、更改或删除数据;或以完整的用户权限创建新账户。“

微软指出,缓解措施是“停止并禁用 Print Spooler 服务“。

美国CERT/CC 的漏洞分析是 Will Dormann 指出,微软证实 CVE-2021-36958 和上述 Delpy 披露的漏洞相对应。

在安全公告中,微软致谢 Accenture Security公司的研究员 Victor Mata,他在2020年12月就已发现该漏洞并提交给微软。

令人不解的是,微软将其归类为远程代码执行漏洞,尽管攻击需要本地执行。Dormann指出,从该漏洞的CVSS评分 6.8分来看,“显然是本地提权漏洞”,并指出微软刚刚收回之前的漏洞描述。未来几天,微软可能会更新该安全公告,将“影响”评级改为“提权”。


微软:确实存在另一枚 print spooler 0day,目前尚未修复
缓解措施


微软尚未发布安全更新,不过表示可以通过禁用 Print Spooler 的方式删除该攻击向量。

由于禁用 Print Spooler 将阻止设备打印,因此更好的方法是仅允许自己的设备从授权服务器安装打印机。

通过“Package Point and print – Approved servers” 组策略即可设置这一限制,除非打印机服务器在获批准列表上,则非管理员用户无法使用 Point and Print 来安装打印机驱动器。如需启动该策略,则启动 Group Policy Editor (gpedit.msc) 并导航至 User Configuration > Administrative Templates > Control Panel > Printers > Package Point and Print – Approved Servers(用户配置 > 管理员模板> 控制台> 打印机 > 程序包 Point and Print – 已批准服务器)。

微软:确实存在另一枚 print spooler 0day,目前尚未修复


打开策略后,输入想要作为打印机服务器的服务器列表,之后点击确定启用该策略。如网络上不存在打印机服务器,则可输入虚假服务器名称以启用该特性。虽然应用该组策略将在最大程度上免受 CVE-2021-36958 exploit 攻击,但无法阻止攻击者通过恶意驱动器接管授权打印机服务器。






推荐阅读

微软8月补丁星期二值得关注的几个0day、几个严重漏洞及其它
微软公开PrintNightmare系列第3枚无补丁0day,谷歌修复第8枚已遭利用0day
PrintNightmare 漏洞的补丁管用吗?安全界和微软有不同看法
Windows PrintNightmare 漏洞和补丁分析




原文链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-another-windows-print-spooler-zero-day-bug/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




微软:确实存在另一枚 print spooler 0day,目前尚未修复
微软:确实存在另一枚 print spooler 0day,目前尚未修复

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   微软:确实存在另一枚 print spooler 0day,目前尚未修复 觉得不错,就点个 “在看” 或 "” 吧~



本文始发于微信公众号(代码卫士):微软:确实存在另一枚 print spooler 0day,目前尚未修复

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月8日11:12:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  微软:确实存在另一枚 print spooler 0day,目前尚未修复 http://cn-sec.com/archives/455779.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: