聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

微软为另外一个 Windows Print Spooler 0day 漏洞发布安全公告。该漏洞编号为 CVE-2021-36958，可导致攻击者获得系统权限。

该漏洞属于 “PrintNightmare” 系列漏洞，它们滥用 Windows Print Splooer、打印机驱动以及 Windows Point and Print 特性。微软在7月和8月均发布安全更新，修复多个 PrintNightmare 漏洞。

然而，安全研究员 Benjamin Delpy 披露的这个漏洞仍然可使威胁行动者仅通过连接到远程 print 服务器即可快速获得系统权限。当用户连接到打印机时，该漏洞使用 CopyFile 注册表指令连同打印机驱动将打开命令提示符的 DLL 文件复制到客户端。虽然微软最近发布的安全更新更改了新的打印机驱动安装程序，要求获得管理员权限才能进行，但如果驱动机已安装，则无需输入管理员权限即可连接到打印机。

另外，如果客户端上存在驱动，则无需安装，而非管理员用户连接到远程打印机时，仍然需要执行 CopyFile 指令。该弱点使DLL 被复制到客户端并执行，打开系统级别的命令提示符。

微软发布 CVE-2021-36958 安全公告

微软发布安全公告称，“当 Windows Print Spooler 服务不正确地执行提权文件操作时会触发远程代码执行漏洞。成功利用该漏洞的攻击者可以系统权限运行任意代码，安装程序；查看、更改或删除数据；或以完整的用户权限创建新账户。“

微软指出，缓解措施是“停止并禁用 Print Spooler 服务“。

美国CERT/CC 的漏洞分析是 Will Dormann 指出，微软证实 CVE-2021-36958 和上述 Delpy 披露的漏洞相对应。

在安全公告中，微软致谢 Accenture Security公司的研究员 Victor Mata，他在2020年12月就已发现该漏洞并提交给微软。

令人不解的是，微软将其归类为远程代码执行漏洞，尽管攻击需要本地执行。Dormann指出，从该漏洞的CVSS评分 6.8分来看，“显然是本地提权漏洞”，并指出微软刚刚收回之前的漏洞描述。未来几天，微软可能会更新该安全公告，将“影响”评级改为“提权”。

缓解措施

微软尚未发布安全更新，不过表示可以通过禁用 Print Spooler 的方式删除该攻击向量。

由于禁用 Print Spooler 将阻止设备打印，因此更好的方法是仅允许自己的设备从授权服务器安装打印机。

通过“Package Point and print – Approved servers” 组策略即可设置这一限制，除非打印机服务器在获批准列表上，则非管理员用户无法使用 Point and Print 来安装打印机驱动器。如需启动该策略，则启动 Group Policy Editor (gpedit.msc) 并导航至 User Configuration > Administrative Templates > Control Panel > Printers > Package Point and Print – Approved Servers（用户配置 > 管理员模板> 控制台> 打印机 > 程序包 Point and Print – 已批准服务器）。

打开策略后，输入想要作为打印机服务器的服务器列表，之后点击确定启用该策略。如网络上不存在打印机服务器，则可输入虚假服务器名称以启用该特性。虽然应用该组策略将在最大程度上免受 CVE-2021-36958 exploit 攻击，但无法阻止攻击者通过恶意驱动器接管授权打印机服务器。

推荐阅读

微软8月补丁星期二值得关注的几个0day、几个严重漏洞及其它

微软公开PrintNightmare系列第3枚无补丁0day，谷歌修复第8枚已遭利用0day

PrintNightmare 漏洞的补丁管用吗？安全界和微软有不同看法

Windows PrintNightmare 漏洞和补丁分析

原文链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-another-windows-print-spooler-zero-day-bug/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~