Windows print spooler再爆0 day漏洞。
8月11日,微软发布安全公告确认了Windows print spooler中的另一个0 day漏洞——CVE-2021-36958。该漏洞是PrintNightmare漏洞的一部分,即一类滥用Windows print spooler、打印机驱动和其他Windows打印特征的配置设置的漏洞。本地攻击者利用该漏洞可以将权限提升到SYSTEM级。
此前,研究人员也发现了多个PrintNightmare漏洞,包括CVE-2021-34483、CVE-2021-1675和CVE-2021-34527。微软已于7月和8月发布了安全更新来修复不同的PrintNightmare漏洞。
CVE-2021-36958
攻击者利用该漏洞可以仅仅通过连接到远程打印机服务器就可以获取system权限,PoC视频参见:https://player.vimeo.com/video/581584478
当用户连接到打印机时,该漏洞使用CopyFile注册表指令来复制dll文件来打开一个命令行矿工。微软最近的安全更新修改了打印机驱动的安装过程,因此当驱动安装后连接到打印机无需管理员权限。
此外,如果驱动存在于客户端中,无需安装,那么非管理员用户连接到远程打印机仍然会执行CopyFile注册表指令。这一弱点使得攻击者可以复制DLL文件到客户端,并执行打开SYSTEM级命令窗口。
微软发布CVE-2021-36958安全公告
8月11日,微软发布CVE-2021-36958漏洞的安全公告,称这是一个新的Windows Print Spooler漏洞——CVE-2021-36958。称该漏洞是由于Windows Print Spooler服务处理特权文件操作不当引起的。成功利用该漏洞的攻击者可以以SYSTEM权限运行任意代码,然后安装程序、查看、修改或删除数据、或创建完全用户权限的新账户。
CVE-2021-36958漏洞缓解
微软并未发布该漏洞的安全更新,但称用户可以禁用Print Spooler服务来移除该攻击量。禁用Print Spooler可以防止设备打印,更好的方法就是只允许设备从授权的服务器安装打印机。
这一限制可以通过组策略“Package Point and print-Approved servers”来实现,通过组策略的设置可以预防非管理员用户使用Point and Print安装打印机驱动,除非打印机在批准的列表中。组策略的配置方式如下所示:
进入组策略编辑器(gpedit.msc),进入用户配置—>管理员模板—>控制面板打印机—>Package Point and Print—>批准的服务器。
【安装详细介绍】【组织越南】【用户目录】【紫金甘肃】【怎么挑选虚拟主机】【做电商的应该怎么规划主机的配置呢】【国内访问香港主机速度是怎么样的呢】【香港主机的安全检测步骤】【华为云chia币奇亚挖矿解决方案】【香港主机】【容器数据】【法国主机怎么选法国主机选购指南】【安装重启】【波罗数据中心】【高防主机的这些坑你遇到过吗购买时小心了】【查询域名注册信息】【中科曙光液冷主机实现大规模部署】【租用韩国主机部署游戏业务合适吗有哪些优势】【什么是云主机】【详解linuxlcd驱动编写】
版权声明:本站部分内容来源于网友推荐、互联网收集整理而来,仅供学习参考,不代表本站立场,如有内容涉嫌侵权,请联系alex-e#qq.com处理。