与MicrosoftWindows打印机相关的问题的噩梦挥之不去,今天早些时候,该公司确认了WindowsPrintSpooler服务中的一个新安全漏洞。这个新漏洞被跟踪为CVE-2021-36958。微软表示,当WindowsPrintSpooler服务不正确地执行特权文件操作时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用系统权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完整用户权限的新帐户。那些一直密切关注此事的人可能已经注意到,这个新问题与持续存在的PrintNightmare漏洞有关,该公司几天前针对该漏洞发布了补丁。微软声称该补丁应该对缓解这个问题有很大帮助,因为它现在需要管理员权限才能安装和更新打印驱动程序。但是,在已安装打印机驱动程序的系统上,该漏洞仍可能被可能成为威胁参与者的非管理员用户利用。值得注意的是,该漏洞被标记为远程代码执行(RCE),但CERT的WillDormann表示,这显然是一个本地权限提升漏洞(LPE)。事实上,在漏洞的文档中,微软自己将攻击向量描述为本地的。Microsoft正在为此进行修复,并再次建议用户禁用WindowsPrintSpooler服务作为临时解决方法(如无必要)。然而,安全研究员BenjaminDelpy说他有比完全禁用打印服务更好的方法。建议用户通过使用Windows组策略中的Windows“PackagePointandPrint-ApprovedServers”选项将打印功能限制为仅允许的服务器。
