Windows print spooler再爆0 day漏洞。

　　8月11日，微軟發(fā)布安全公告確認了Windows print spooler中的另一個0 day漏洞——CVE-2021-36958。該漏洞是PrintNightmare 漏洞的一部分，即一類濫用Windows print spooler、打印機驅(qū)動和其他Windows打印特征的配置設(shè)置的漏洞。本地攻擊者利用該漏洞可以將權(quán)限提升到SYSTEM級。

　　此前，研究人員也發(fā)現(xiàn)了多個PrintNightmare 漏洞，包括CVE-2021-34483、CVE-2021-1675 和CVE-2021-34527。微軟已于7月和8月發(fā)布了安全更新來修復(fù)不同的PrintNightmare漏洞。

　　CVE-2021-36958

　　攻擊者利用該漏洞可以僅僅通過連接到遠程打印機服務(wù)器就可以獲取system權(quán)限，PoC視頻參見：https://player.vimeo.com/video/581584478

　　當用戶連接到打印機時，該漏洞使用CopyFile注冊表指令來復(fù)制dll文件來打開一個命令行礦工。微軟最近的安全更新修改了打印機驅(qū)動的安裝過程，因此當驅(qū)動安裝后連接到打印機無需管理員權(quán)限。

　　此外，如果驅(qū)動存在于客戶端中，無需安裝，那么非管理員用戶連接到遠程打印機仍然會執(zhí)行CopyFile注冊表指令。這一弱點使得攻擊者可以復(fù)制DLL文件到客戶端，并執(zhí)行打開SYSTEM級命令窗口。

　　微軟發(fā)布CVE-2021-36958安全公告

　　8月11日，微軟發(fā)布CVE-2021-36958漏洞的安全公告，稱這是一個新的Windows Print Spooler漏洞——CVE-2021-36958。稱該漏洞是由于Windows Print Spooler服務(wù)處理特權(quán)文件操作不當引起的。成功利用該漏洞的攻擊者可以以SYSTEM權(quán)限運行任意代碼，然后安裝程序、查看、修改或刪除數(shù)據(jù)、或創(chuàng)建完全用戶權(quán)限的新賬戶。

　　CVE-2021-36958漏洞緩解

　　微軟并未發(fā)布該漏洞的安全更新，但稱用戶可以禁用Print Spooler服務(wù)來移除該攻擊量。禁用Print Spooler可以防止設(shè)備打印，更好的方法就是只允許設(shè)備從授權(quán)的服務(wù)器安裝打印機。

　　這一限制可以通過組策略“Package Point and print - Approved servers”來實現(xiàn)，通過組策略的設(shè)置可以預(yù)防非管理員用戶使用Point and Print安裝打印機驅(qū)動，除非打印機在批準的列表中。組策略的配置方式如下所示：

　　進入組策略編輯器（gpedit.msc），進入用戶配置—>管理員模板—>控制面板打印機—> Package Point and Print—>批準的服務(wù)器。