Windows print spooler再爆0 day漏洞。

　　8月11日，微軟發(fā)布安全公告確認了Windows print spooler中的另一個0 day漏洞——CVE-2021-36958。該漏洞是PrintNightmare 漏洞的一部分，即一類濫用Windows print spooler、打印機驅動和其他Windows打印特征的配置設置的漏洞。本地攻擊者利用該漏洞可以將權限提升到SYSTEM級。

　　此前，研究人員也發(fā)現(xiàn)了多個PrintNightmare 漏洞，包括CVE-2021-34483、CVE-2021-1675 和CVE-2021-34527。微軟已于7月和8月發(fā)布了安全更新來修復不同的PrintNightmare漏洞。

　　CVE-2021-36958

　　攻擊者利用該漏洞可以僅僅通過連接到遠程打印機服務器就可以獲取system權限，PoC視頻參見：https://player.vimeo.com/video/581584478

　　當用戶連接到打印機時，該漏洞使用CopyFile注冊表指令來復制dll文件來打開一個命令行礦工。微軟最近的安全更新修改了打印機驅動的安裝過程，因此當驅動安裝后連接到打印機無需管理員權限。

　　此外，如果驅動存在于客戶端中，無需安裝，那么非管理員用戶連接到遠程打印機仍然會執(zhí)行CopyFile注冊表指令。這一弱點使得攻擊者可以復制DLL文件到客戶端，并執(zhí)行打開SYSTEM級命令窗口。

　　微軟發(fā)布CVE-2021-36958安全公告

　　8月11日，微軟發(fā)布CVE-2021-36958漏洞的安全公告，稱這是一個新的Windows Print Spooler漏洞——CVE-2021-36958。稱該漏洞是由于Windows Print Spooler服務處理特權文件操作不當引起的。成功利用該漏洞的攻擊者可以以SYSTEM權限運行任意代碼，然后安裝程序、查看、修改或刪除數(shù)據(jù)、或創(chuàng)建完全用戶權限的新賬戶。

　　CVE-2021-36958漏洞緩解

　　微軟并未發(fā)布該漏洞的安全更新，但稱用戶可以禁用Print Spooler服務來移除該攻擊量。禁用Print Spooler可以防止設備打印，更好的方法就是只允許設備從授權的服務器安裝打印機。

　　這一限制可以通過組策略“Package Point and print - Approved servers”來實現(xiàn)，通過組策略的設置可以預防非管理員用戶使用Point and Print安裝打印機驅動，除非打印機在批準的列表中。組策略的配置方式如下所示：

　　進入組策略編輯器（gpedit.msc），進入用戶配置—>管理員模板—>控制面板打印機—> Package Point and Print—>批準的服務器。