微软:确实存在另一枚 print spooler 0day,目前尚未修复
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
微软为另外一个 Windows Print Spooler 0day 漏洞发布安全公告。该漏洞编号为 CVE-2021-36958,可导致攻击者获得系统权限。
该漏洞属于 “PrintNightmare” 系列漏洞,它们滥用 Windows Print Splooer、打印机驱动以及 Windows Point and Print 特性。微软在7月和8月均发布安全更新,修复多个 PrintNightmare 漏洞。
然而,安全研究员 Benjamin Delpy 披露的这个漏洞仍然可使威胁行动者仅通过连接到远程 print 服务器即可快速获得系统权限。当用户连接到打印机时,该漏洞使用 CopyFile 注册表指令连同打印机驱动将打开命令提示符的 DLL 文件复制到客户端。虽然微软最近发布的安全更新更改了新的打印机驱动安装程序,要求获得管理员权限才能进行,但如果驱动机已安装,则无需输入管理员权限即可连接到打印机。
另外,如果客户端上存在驱动,则无需安装,而非管理员用户连接到远程打印机时,仍然需要执行 CopyFile 指令。该弱点使DLL 被复制到客户端并执行,打开系统级别的命令提示符。
微软发布 CVE-2021-36958 安全公告
微软发布安全公告称,“当 Windows Print Spooler 服务不正确地执行提权文件操作时会触发远程代码执行漏洞。成功利用该漏洞的攻击者可以系统权限运行任意代码,安装程序;查看、更改或删除数据;或以完整的用户权限创建新账户。“
微软指出,缓解措施是“停止并禁用 Print Spooler 服务“。
美国CERT/CC 的漏洞分析是 Will Dormann 指出,微软证实 CVE-2021-36958 和上述 Delpy 披露的漏洞相对应。
在安全公告中,微软致谢 Accenture Security公司的研究员 Victor Mata,他在2020年12月就已发现该漏洞并提交给微软。
令人不解的是,微软将其归类为远程代码执行漏洞,尽管攻击需要本地执行。Dormann指出,从该漏洞的CVSS评分 6.8分来看,“显然是本地提权漏洞”,并指出微软刚刚收回之前的漏洞描述。未来几天,微软可能会更新该安全公告,将“影响”评级改为“提权”。
缓解措施
微软尚未发布安全更新,不过表示可以通过禁用 Print Spooler 的方式删除该攻击向量。
由于禁用 Print Spooler 将阻止设备打印,因此更好的方法是仅允许自己的设备从授权服务器安装打印机。
通过“Package Point and print – Approved servers” 组策略即可设置这一限制,除非打印机服务器在获批准列表上,则非管理员用户无法使用 Point and Print 来安装打印机驱动器。如需启动该策略,则启动 Group Policy Editor (gpedit.msc) 并导航至 User Configuration > Administrative Templates > Control Panel > Printers > Package Point and Print – Approved Servers(用户配置 > 管理员模板> 控制台> 打印机 > 程序包 Point and Print – 已批准服务器)。
打开策略后,输入想要作为打印机服务器的服务器列表,之后点击确定启用该策略。如网络上不存在打印机服务器,则可输入虚假服务器名称以启用该特性。虽然应用该组策略将在最大程度上免受 CVE-2021-36958 exploit 攻击,但无法阻止攻击者通过恶意驱动器接管授权打印机服务器。
推荐阅读
微软8月补丁星期二值得关注的几个0day、几个严重漏洞及其它
微软公开PrintNightmare系列第3枚无补丁0day,谷歌修复第8枚已遭利用0day
PrintNightmare 漏洞的补丁管用吗?安全界和微软有不同看法
Windows PrintNightmare 漏洞和补丁分析
原文链接
https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-another-windows-print-spooler-zero-day-bug/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
微软:确实存在另一枚 print spooler 0day,目前尚未修复相关推荐
- 微软公开PrintNightmare系列第3枚无补丁0day,谷歌修复第8枚已遭利用0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 今天,微软发布安全公告,发布了CVSS 评分为7.3.继CVE-2021-1675和CVE-2021-34527之后的第3枚Print S ...
- Windows Print Spooler 被曝未修复 0day,可导致恶意软件以管理员权限运行
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 研究人员找到绕过Windows 打印服务漏洞 CVE-2020-1048 补丁的方法,可导致攻击者以提升后的权限执行恶意代码. CVE ...
- win10 修复打印机服务器,Win10专业版打印机无法启动print spooler服务怎么修复?
Print Spooler是打印后台处理服务,管理所有打印队列及控制所有打印工作.有的win10用户在安装使用打印机的时候系统提示"print spooler无法启动",导致无法打 ...
- CVE-2021-1675: Windows Print Spooler远程代码执行漏洞
** 赶紧点击上方话题进行订阅吧!** 报告编号:B6-2021-062902 报告来源:360CERT 报告作者:360CERT 更新日期:2021-06-29 1 漏洞简述 2021年06月29日 ...
- Windows Print Spooler 远程代码执行漏洞(CVE-2021-1675)
点击上方 订阅话题 第一时间了解漏洞威胁 0x01 漏洞描述 Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中. 微软在2021年6月的安全更 ...
- Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)
点击上方 订阅话题 第一时间了解漏洞威胁 0x01 漏洞描述 Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中. 360漏洞云监测到微软最新披 ...
- CVE-2021-34527: Windows Print Spooler 蠕虫级远程代码执行漏洞
报告编号:B6-2021-062902 报告来源:360CERT 报告作者:360CERT 更新日期:2021-07-02 1 更新概览 1.漏洞简述新增360CERT对CVE-2021-34527( ...
- Windows Print Spooler服务最新漏洞CVE-2021-34527详解
0x00 前言 近日,有安全研究员在github上公开了"CVE-2021-1675"的exp PrintNightmare,后经验证公开的exp是一个与CVE-2021-1675 ...
- Windows Print Spooler CVE-2021-1675 漏洞复现
Windows Print Spooler CVE-2021-1675 漏洞复现 Created: July 7, 2021 5:25 PM 漏洞描述 Windows Print Spooler是Wi ...
最新文章
- 模板特化,全特化,偏特化,全部特化,部分特化的含义
- jQuery 图片高亮显示
- python快速编程入门例题-Python快速编程入门,打牢基础必须知道的11个知识点 !...
- jsoncpp在linux和windows下的编译及使用详解
- Nginx笔记-处女篇
- OpenJudge计算概论-最长单词2
- typhoon-blade c++ lib manager
- c# winform 应用编程代码总结 15
- 软件工程综合实践第二次作业——结对编程
- 易宝典文章——玩转Office 365中的Exchange Online服务 之二十八 怎样过滤病毒***邮件...
- php 的sentmail支持ssl吗_php 的swoole 和websocket 连接wss
- GPU 编程与CG 语言之阳春白雪下里巴人——CG学习读书笔记之数学函数(之二)。
- 使用eclipse创建一个web登录界面项目
- 获取PC 服务器 可用的GPU
- 【单片机毕业设计】【mcuclub-103】智能花盆 | 智能养殖箱 | 多功能花盆 | 多功能养殖箱【实物设计】
- 7-151 计算存款利息
- 基于Java的亚马逊“手机”评论爬虫的情感分类分析
- 微信聊天记录怎么备份?
- 如果去掉数学前后的空格_excel表格数据消除前后空格-EXCEL表格中数据后面的空格怎么去掉,一条条手工删......
- HtmlUnit使用体会
热门文章
- 总结开发Silverlight 注意事项
- net.sf.hibernate.util 总结
- 使用Apache Ignite构建C++版本的分布式应用
- 使用nvm安装并管理node.js
- canvas - drawImage()方法绘制图片不显示的问题
- 常用工具——Rsync
- zabbix 自定义监控
- 《贝叶斯思维:统计建模的Python学习法》——2.5 封装框架
- HighCharts/Highstock使用小结,使用汉化及中文帮助文档
- 中小企业用户如何选择简单进销存软件?