几天前,我们获悉了一个名为“PrintNightmare”的新漏洞,该漏洞几乎影响所有Windows设备。它利用WindowsPrintSpooler服务的未受保护功能来触发远程代码执行(RCE)。美国网络安全和基础设施安全局(CISA)将其列为严重漏洞,Microsoft正在积极研究修复程序。现在,微软已经提供了有关此事的更多信息。PrintNightmare以漏洞代号CVE-2021-34527进行跟踪,现已获得8.8的通用漏洞评分系统(CVSS)基本评级。值得注意的是,CVSSv3.0规范文档将此定义为“高严重性”漏洞,但从9.0开始它已经非常接近“严重”等级。目前的及时性得分为8.2,及时性得分综合多项因素衡量漏洞当前的可利用性。值得注意的是,类似的漏洞在6月的“补丁星期二”更新中得到修复,但它的基本CVSS分数为7.8。基础评分定为8.8,是因为微软确定攻击向量在网络层面,攻击复杂度和权限要求低,不涉及用户交互,可能导致组织资源的机密性、完整性和可用性“完全”丢失的”。同时,时间得分为8.2,因为功能易受攻击的代码很容易在Internet上获得并且适用于所有版本的Windows,存在关于它的详细报告,并且有一些官方建议的补救措施。我们已经知道,Microsoft建议禁用WindowsPrintSpooler服务,或者至少通过组策略禁用入站远程打印,然后建议检查一些包含权限的实体成员资格和嵌套组成员资格。公司建议操作系统中远程权限成员的数量尽可能少,最好尽可能为零。不过,该公司警告说,从其中一些群组中删除成员可能会导致兼容性问题。这些受影响的组如下:管理员域控制器只读域控制器企业只读域控制器证书管理员模式管理员企业管理员组策略管理员超级用户系统操作员打印操作员备份操作员RAS服务器兼容Windows2000访问网络配置操作员组对象加密操作员组对象本地帐户和Administrators组成员Microsoft强调将尽快提供修复程序,但与此同时,它建议组织利用MicrosoftDefender365等工具来监视潜在的恶意软件活动。虽然“PrintandPoint”与此漏洞没有直接关系,但微软仍建议编辑一些注册表值以强化组织的本地安全基础设施,并表示应明确列出客户端使用的打印服务器。
