微软安全响应中心发布的最新公告证实打印服务中的一个新漏洞。发现此安全漏洞的不是 Microsoft,而是安全研究员 Benjamin Delpy。
但该漏洞的归属目前有点不解:安全研究员Delpy于7月18日披露了该漏洞,微软认为该漏洞是由埃森哲安全公司FusionX的Victor Mata发现的。
微软安全响应中心将该漏洞归因于埃森哲安全公司 Fusion X 研究员 Victor Mata,他于去年 12 月发现了该漏洞。
那么问题来了:微软为什么要披露去年底发现的漏洞?特别是,微软已经发布了两轮补丁来修复该漏洞。
前两个月,微软不断发布安全更新修复打印服务相关漏洞。在此期间,大量企业打印机无法正常使用。
但事实上,微软并没有彻底解决漏洞,只是微软最新的安全更新修改了驱动安装权限来减轻危害。
新披露的漏洞属于PrintNightmare系列。当 Windows Print Spooler 错误地执行特权文件时,会导致问题。
微软在漏洞描述中写道:“成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完整用户权限的新帐户。”
同时,攻击者还可以利用该漏洞安装程序、查看、更改或删除文件,所以实际上这对用户尤其是企业用户的危害是相当大的。
CERT/CC 的漏洞分析师 Will Dormann 告诉BleepingComputer微软确认 CVE-2021-36958 对应于Delpy 在 Twitter 上分享的 PoC 漏洞和上面描述的。
因此,在接下来的几天里,微软可能会将此漏洞的影响等级从远程执行代码修改为权限提升,并且漏洞的严重级别仍然很重要。
虽然安全公告已经发布,但微软并没有发布相应的安全更新,所以目前的用户只能通过一些临时的解决方案来缓解该漏洞。
所谓的临时解决方案只能通过停止和禁用Print Spooler服务来移除攻击媒介,但这可能会影响部分设备和打印机的运行。
最好的做法应该是只允许计算机安装来自授权服务的打印机,以防止黑客利用漏洞安装打印机并获得权限提升。
确定后台打印程序服务是否正在运行
在 Windows PowerShell 中运行以下命令:
获取服务名称假脱机程序
如果后台打印程序正在运行或服务未被禁用,请执行以下步骤:
停止并禁用后台打印程序服务
如果停止和禁用后台打印程序服务适合您的环境,请在 Windows PowerShell 中运行以下命令:
停止服务 -Name Spooler -Force
设置服务-名称后台处理程序-StartupType 已禁用
解决方法 的影响 停止和禁用 Print Spooler 服务会禁用本地和远程打印的能力。
相关文章
网友评论(共有 0 条评论)
