Windows print spooler再爆0 day漏洞。

　　8月11日,，微軟發(fā)布安全公告確認(rèn)了Windows print spooler中的另一個(gè)0 day漏洞——CVE-2021-36958。該漏洞是PrintNightmare 漏洞的一部分,，即一類(lèi)濫用Windows print spooler、打印機(jī)驅(qū)動(dòng)和其他Windows打印特征的配置設(shè)置的漏洞,。本地攻擊者利用該漏洞可以將權(quán)限提升到SYSTEM級(jí),。

　　此前，研究人員也發(fā)現(xiàn)了多個(gè)PrintNightmare 漏洞,，包括CVE-2021-34483,、CVE-2021-1675 和CVE-2021-34527。微軟已于7月和8月發(fā)布了安全更新來(lái)修復(fù)不同的PrintNightmare漏洞,。

　　CVE-2021-36958

　　攻擊者利用該漏洞可以?xún)H僅通過(guò)連接到遠(yuǎn)程打印機(jī)服務(wù)器就可以獲取system權(quán)限,，PoC視頻參見(jiàn)：https://player.vimeo.com/video/581584478

　　當(dāng)用戶(hù)連接到打印機(jī)時(shí)，該漏洞使用CopyFile注冊(cè)表指令來(lái)復(fù)制dll文件來(lái)打開(kāi)一個(gè)命令行礦工,。微軟最近的安全更新修改了打印機(jī)驅(qū)動(dòng)的安裝過(guò)程,，因此當(dāng)驅(qū)動(dòng)安裝后連接到打印機(jī)無(wú)需管理員權(quán)限。

　　此外,，如果驅(qū)動(dòng)存在于客戶(hù)端中,，無(wú)需安裝,，那么非管理員用戶(hù)連接到遠(yuǎn)程打印機(jī)仍然會(huì)執(zhí)行CopyFile注冊(cè)表指令,。這一弱點(diǎn)使得攻擊者可以復(fù)制DLL文件到客戶(hù)端，并執(zhí)行打開(kāi)SYSTEM級(jí)命令窗口,。

　　微軟發(fā)布CVE-2021-36958安全公告

　　8月11日,，微軟發(fā)布CVE-2021-36958漏洞的安全公告，稱(chēng)這是一個(gè)新的Windows Print Spooler漏洞——CVE-2021-36958,。稱(chēng)該漏洞是由于Windows Print Spooler服務(wù)處理特權(quán)文件操作不當(dāng)引起的,。成功利用該漏洞的攻擊者可以以SYSTEM權(quán)限運(yùn)行任意代碼，然后安裝程序、查看,、修改或刪除數(shù)據(jù),、或創(chuàng)建完全用戶(hù)權(quán)限的新賬戶(hù)。

　　CVE-2021-36958漏洞緩解

　　微軟并未發(fā)布該漏洞的安全更新,，但稱(chēng)用戶(hù)可以禁用Print Spooler服務(wù)來(lái)移除該攻擊量,。禁用Print Spooler可以防止設(shè)備打印，更好的方法就是只允許設(shè)備從授權(quán)的服務(wù)器安裝打印機(jī),。

　　這一限制可以通過(guò)組策略“Package Point and print - Approved servers”來(lái)實(shí)現(xiàn),，通過(guò)組策略的設(shè)置可以預(yù)防非管理員用戶(hù)使用Point and Print安裝打印機(jī)驅(qū)動(dòng)，除非打印機(jī)在批準(zhǔn)的列表中,。組策略的配置方式如下所示：

　　進(jìn)入組策略編輯器（gpedit.msc）,，進(jìn)入用戶(hù)配置—>管理員模板—>控制面板打印機(jī)—> Package Point and Print—>批準(zhǔn)的服務(wù)器。