微软星期二补丁聚焦Windows Print Spooler

点击蓝字 关注我们            ///

@GoUpSec

昨天修补的44个漏洞中的三个存在于Windows Print Spooler中，这是过去几个月安全修复的主要焦点。

微软昨天发布了另外三个针对Windows Print Spooler漏洞的补丁，并将其默认的指向和打印驱动程序安装和更新行为更改为需要管理员权限。

微软上个月针对影响Windows Print Spooler服务的“PrintNightmare”漏洞发布了一个新的漏洞标识符(CVE-2021-34527)，并声称该漏洞与6月份修补的另一个严重漏洞(CVE-2021-1675)不同。

昨天修补的两个Print Spooler漏洞是远程代码执行(RCE)漏洞：CVE-2021-36936被列为公开已知并归类为严重，以及CVE-2021-369467被归类为重要。两者都被微软列为“更有可能被利用”，并且需要低复杂性和特权才能利用。第三个漏洞CVE-2021-34483，是一个特权提升漏洞，被列为“不太可能利用”，但需要低复杂性和特权。

除了针对Windows Print Spooler漏洞发布上述修复程序外，Microsoft还更改了默认的指向和打印驱动程序安装和更新行为，以要求管理员权限。此更改是对最初于上个月发布的CVE-2021-34481的更新。

微软安全与响应中心(MSRC)在一篇博文中写道：

我们对统称为“PrintNightmare”的几个漏洞的调查表明，Point and Print的默认行为无法为客户提供防范潜在攻击所需的安全级别。

MSRC表示，使用默认设置安装此更新将减轻Print Spooler中公开披露的缺陷。在非高级用户以前可以添加或更新打印机的情况下，此更改会影响打印客户端。正如官方在另一篇关于更改的知识库文章中指出的那样，可以使用注册表项禁用缓解措施，但不建议这样做。Microsoft指出，禁用缓解措施将使环境暴露于Print Spooler缺陷。

总体而言，微软在8月补丁发布中总共有44个安全修复程序，其中包括一个零日漏洞、两个公开已知的缺陷和七个被评为严重的漏洞。

昨天修补的错误会影响Microsoft Windows和Windows组件、Office、Windows Defender、.NET Core和Visual Studio、Azure、Microsoft Dynamics以及Windows更新和更新助手。

昨天推出的补丁包括一个受到攻击的错误：CVE-2021-36948，这是Windows更新医疗服务中的特权提升缺陷。这是Windows 10中引入的一项新服务，用于修复Windows更新组件，以便在部件损坏时机器仍然可以接收更新。

攻击者可以通过本地或远程访问目标系统来利用该漏洞；他们还可以依靠用户交互并诱骗合法用户利用该漏洞。零日被归类为重要，CVSS得分为 7.8；它需要较低的攻击复杂性和较低的特权来利用。这是微软报道的；未披露主动攻击的详细信息。

“有趣的是，在2020年11月宣布的同一服务CVE-2020-17070中也存在类似的漏洞，”Recorded Future的高级安全架构师Allan Liska在给Dark Reading的电子邮件中指出。“Recorded Future无法找到任何证据表明它在野外被利用，因此这可能是攻击者关注的新领域。”

组织还应优先考虑CVE-2021-34535，这是远程桌面客户端中的远程代码执行漏洞，CVSS评分为9.9。值得注意的是，这个缺陷影响的是RDP客户端，而不是RDP服务器，但它被微软评为“更有可能被利用”。

微软表示，通过远程桌面连接，如果受害者使用易受攻击的远程桌面客户端连接到攻击者的服务器，则控制远程桌面服务器的攻击者可以在目标计算机上触发RCE。以Hyper-V为例，如果主机上运行的受害者连接到Hyper-V来宾，则在来宾虚拟机中运行的恶意程序可能会通过利用Hyper-V查看器中的此漏洞触发来宾到主机RCE。

“这是更有可能发生的情况，也是您应该快速测试和部署此补丁的原因，”趋势科技零日计划的达斯汀·柴尔兹(Dustin Childs)在星期二补丁的博客文章中写道。

本月另一个值得注意的CVE是CVE-2021-34480，这是一个严重的脚本引擎内存损坏漏洞。虽然它的CVSS分数较低，为6.8，但它被微软评为“更有可能被利用”。攻击者必须说服受害者打开一个特制的文件才能利用该漏洞，因此它确实需要一些用户交互才能利用。

END