Windows print spooler再爆0 day漏洞。

　　8月11日，微軟發(fā)布安全公告確認(rèn)了Windows print spooler中的另一個(gè)0 day漏洞——CVE-2021-36958。該漏洞是PrintNightmare 漏洞的一部分，即一類濫用Windows print spooler、打印機(jī)驅(qū)動(dòng)和其他Windows打印特征的配置設(shè)置的漏洞。本地攻擊者利用該漏洞可以將權(quán)限提升到SYSTEM級(jí)。

　　此前，研究人員也發(fā)現(xiàn)了多個(gè)PrintNightmare 漏洞，包括CVE-2021-34483、CVE-2021-1675 和CVE-2021-34527。微軟已于7月和8月發(fā)布了安全更新來修復(fù)不同的PrintNightmare漏洞。

　　CVE-2021-36958

　　攻擊者利用該漏洞可以僅僅通過連接到遠(yuǎn)程打印機(jī)服務(wù)器就可以獲取system權(quán)限，PoC視頻參見：https://player.vimeo.com/video/581584478

　　當(dāng)用戶連接到打印機(jī)時(shí)，該漏洞使用CopyFile注冊(cè)表指令來復(fù)制dll文件來打開一個(gè)命令行礦工。微軟最近的安全更新修改了打印機(jī)驅(qū)動(dòng)的安裝過程，因此當(dāng)驅(qū)動(dòng)安裝后連接到打印機(jī)無需管理員權(quán)限。

　　此外，如果驅(qū)動(dòng)存在于客戶端中，無需安裝，那么非管理員用戶連接到遠(yuǎn)程打印機(jī)仍然會(huì)執(zhí)行CopyFile注冊(cè)表指令。這一弱點(diǎn)使得攻擊者可以復(fù)制DLL文件到客戶端，并執(zhí)行打開SYSTEM級(jí)命令窗口。

　　微軟發(fā)布CVE-2021-36958安全公告

　　8月11日，微軟發(fā)布CVE-2021-36958漏洞的安全公告，稱這是一個(gè)新的Windows Print Spooler漏洞——CVE-2021-36958。稱該漏洞是由于Windows Print Spooler服務(wù)處理特權(quán)文件操作不當(dāng)引起的。成功利用該漏洞的攻擊者可以以SYSTEM權(quán)限運(yùn)行任意代碼，然后安裝程序、查看、修改或刪除數(shù)據(jù)、或創(chuàng)建完全用戶權(quán)限的新賬戶。

　　CVE-2021-36958漏洞緩解

　　微軟并未發(fā)布該漏洞的安全更新，但稱用戶可以禁用Print Spooler服務(wù)來移除該攻擊量。禁用Print Spooler可以防止設(shè)備打印，更好的方法就是只允許設(shè)備從授權(quán)的服務(wù)器安裝打印機(jī)。

　　這一限制可以通過組策略“Package Point and print - Approved servers”來實(shí)現(xiàn)，通過組策略的設(shè)置可以預(yù)防非管理員用戶使用Point and Print安裝打印機(jī)驅(qū)動(dòng)，除非打印機(jī)在批準(zhǔn)的列表中。組策略的配置方式如下所示：

　　進(jìn)入組策略編輯器（gpedit.msc），進(jìn)入用戶配置—>管理員模板—>控制面板打印機(jī)—> Package Point and Print—>批準(zhǔn)的服務(wù)器。