微软:确实存在另一枚 print spooler 0day,目前尚未修复
编译:代码卫士
微软为另外一个 Windows Print Spooler 0day 漏洞发布安全公告。该漏洞编号为 CVE-2021-36958,可导致攻击者获得系统权限。
该漏洞属于 “PrintNightmare” 系列漏洞,它们滥用 Windows Print Splooer、打印机驱动以及 Windows Point and Print 特性。微软在7月和8月均发布安全更新,修复多个 PrintNightmare 漏洞。
然而,安全研究员 Benjamin Delpy 披露的这个漏洞仍然可使威胁行动者仅通过连接到远程 print 服务器即可快速获得系统权限。当用户连接到打印机时,该漏洞使用 CopyFile 注册表指令连同打印机驱动将打开命令提示符的 DLL 文件复制到客户端。虽然微软最近发布的安全更新更改了新的打印机驱动安装程序,要求获得管理员权限才能进行,但如果驱动机已安装,则无需输入管理员权限即可连接到打印机。
另外,如果客户端上存在驱动,则无需安装,而非管理员用户连接到远程打印机时,仍然需要执行 CopyFile 指令。该弱点使DLL 被复制到客户端并执行,打开系统级别的命令提示符。
微软发布安全公告称,“当 Windows Print Spooler 服务不正确地执行提权文件操作时会触发远程代码执行漏洞。成功利用该漏洞的攻击者可以系统权限运行任意代码,安装程序;查看、更改或删除数据;或以完整的用户权限创建新账户。“
微软指出,缓解措施是“停止并禁用 Print Spooler 服务“。
美国CERT/CC 的漏洞分析是 Will Dormann 指出,微软证实 CVE-2021-36958 和上述 Delpy 披露的漏洞相对应。
在安全公告中,微软致谢 Accenture Security公司的研究员 Victor Mata,他在2020年12月就已发现该漏洞并提交给微软。
令人不解的是,微软将其归类为远程代码执行漏洞,尽管攻击需要本地执行。Dormann指出,从该漏洞的CVSS评分 6.8分来看,“显然是本地提权漏洞”,并指出微软刚刚收回之前的漏洞描述。未来几天,微软可能会更新该安全公告,将“影响”评级改为“提权”。
微软尚未发布安全更新,不过表示可以通过禁用 Print Spooler 的方式删除该攻击向量。
由于禁用 Print Spooler 将阻止设备打印,因此更好的方法是仅允许自己的设备从授权服务器安装打印机。
通过“Package Point and print – Approved servers” 组策略即可设置这一限制,除非打印机服务器在获批准列表上,则非管理员用户无法使用 Point and Print 来安装打印机驱动器。如需启动该策略,则启动 Group Policy Editor (gpedit.msc) 并导航至 User Configuration > Administrative Templates > Control Panel > Printers > Package Point and Print – Approved Servers(用户配置 > 管理员模板> 控制台> 打印机 > 程序包 Point and Print – 已批准服务器)。
打开策略后,输入想要作为打印机服务器的服务器列表,之后点击确定启用该策略。如网络上不存在打印机服务器,则可输入虚假服务器名称以启用该特性。虽然应用该组策略将在最大程度上免受 CVE-2021-36958 exploit 攻击,但无法阻止攻击者通过恶意驱动器接管授权打印机服务器。
微软公开PrintNightmare系列第3枚无补丁0day,谷歌修复第8枚已遭利用0day
PrintNightmare 漏洞的补丁管用吗?安全界和微软有不同看法
Windows PrintNightmare 漏洞和补丁分析
https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-another-windows-print-spooler-zero-day-bug/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。