如果您认为 Microsoft 的 Windows Print Spooler 中的安全漏洞已经结束,请再想一想。该公司已确认该服务中存在一个新漏洞,此前该漏洞导致客户面临所谓的 PrintNightmare 攻击。
据微软称,这是 Windows Print Spooler 中的一个代码执行缺陷,它提供了不正确的文件权限。它的 ID 号为CVE-2021-36958,官方描述如下:
“当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。”
Microsoft 将此问题视为远程代码执行 (RCE) 漏洞。然而,有些人不同意,包括 CERT 的 Will Dormann,他告诉Bleeping Computer “这显然是本地的 (LPE)”。有趣的是,微软还在文档中将该缺陷描述为本地权限提升。
这可能只是微软方面的一个意外。顺便说一句,该公司表示正在修复,但在那之前是时候再次关闭 Windows Print Spooler。
打印噩梦
PrintNightmare 始于6 月份意外泄露在线的漏洞利用 PoC,后来微软发布了紧急带外补丁。
PrintNightmare 被深信服的安全研究人员发现,当该组织意外发布概念验证 (PoC) 时,该漏洞变得活跃。这让攻击者知道如何利用该漏洞,这意味着他们可以进行远程执行代码攻击以获得系统级权限。
Print Spooler 是 Windows 上默认运行的一项服务。它也是该平台的旧组件,这意味着所有 Windows 版本都会受到影响。
正文完