微软警告新的未打补丁的 Windows Print Spooler RCE 零日漏洞

微软警告另一个零日 Windows 打印后台处理程序漏洞，跟踪为 CVE-2021-36958，可能允许本地攻击者获得系统权限。

微软发布了一个安全公告，警告其客户存在另一个远程代码执行零漏洞，跟踪为CVE-2021-36958，它驻留在 Windows Print Spooler 组件中。本地攻击者可以利用该漏洞获取易受攻击系统的 SYSTEM 权限。

“当 Windows Print Spooler 服务不正确地执行特权文件操作时，存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。” 阅读Microsoft 发布的安全公告。“此漏洞的解决方法是停止并禁用 Print Spooler 服务。”

该漏洞的 CVSS 得分为 7.3，微软表示此问题的唯一解决方法是禁用 Print Spooler 服务。该漏洞是由埃森哲安全公司的 Victor Mata 于 12 月发现的。

CERT 协调中心还建议阻止出站 SMB 流量，以防止连接到恶意共享打印机。

“针对此漏洞的公开利用利用 SMB 连接到恶意共享打印机。如果到 SMB 资源的出站连接被阻止，则可以缓解托管在网络外部的恶意 SMB 打印机的此漏洞。请注意，Microsoft 表示可以通过[MS-WPRN] Web Point-and-Print Protocol共享打印机 ，这可能允许在不依赖 SMB 流量的情况下安装任意打印机驱动程序。” 阅读CERT 协调中心发布的安全公告。“此外，本地网络的攻击者将能够通过 SMB 共享打印机，而这不会受到任何出站 SMB 流量规则的影响。”

这是打印机服务中一系列错误的最后一个缺陷，统称为 PrintNightmare。

为了解决这些类型的缺陷，Microsoft对默认的 Point and Print 默认行为实施了相同的更改。非管理员用户将不再能够在没有提升管理员权限的情况下使用指向和打印执行以下操作：

• 使用远程计算机或服务器上的驱动程序安装新打印机

• 使用来自远程计算机或服务器的驱动程序更新现有打印机驱动程序

原文来自: securityaffairs.co