微软警告新的未修补的 Windows 打印后台处理程序漏洞

586 阅读2分钟

微软周四分享了关于影响 Windows Print Spooler 服务的另一个漏洞的新指南,并表示正在努力在即将发布的安全更新中解决这个问题。

跟踪为CVE-2021-34481(CVSS 评分:7.8),该问题涉及本地权限提升漏洞,该漏洞可能被滥用以在系统上执行未经授权的操作。该公司感谢安全研究员 Jacob Baines 发现并报告了该漏洞。

“当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在特权提升漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码,”Windows 制造商在其公告中说。“然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。”

但是,值得指出的是,成功利用该漏洞需要攻击者具有在受害系统上执行代码的能力。换句话说,只能在本地利用此漏洞来获得设备上的提升权限。

image.png

作为变通方法,Microsoft 建议用户停止并禁用 Print Spooler 服务,以防止恶意行为者利用该漏洞。

几天前,这家总部位于雷德蒙德的公司推出了补丁以解决同一组件中的一个关键缺陷,该组件被披露为被积极利用以进行野外攻击。

该漏洞被称为 PrintNightmare CVE-2021-34527,源于 Print Spooler 中缺少权限检查,该漏洞允许安装恶意打印驱动程序以在易受攻击的系统上实现远程代码执行或本地权限提升。

然而,后来发现在特定条件下可以完全绕过带外安全更新以获得本地权限提升和远程代码执行。微软此后表示,这些修复“按设计工作,有效对抗已知的打印机假脱机攻击和其他统称为 PrintNightmare 的公共报告”。