就在微軟就Windows Print Spooler 服務中未修補的安全漏洞發出警報幾天后,同一組件中的另一個零日漏洞可能已經曝光,這使其成為最近幾周發現的第四個與打印機相關的缺陷。
知名網絡安全專家、東方聯盟創始人郭盛華披露了對該漏洞的利用:"Microsoft Windows 允許非管理員用戶通過 Point and Print 安裝打印機驅動程序,通過這種技術安裝的打印機還會安裝特定於隊列的文件,這些文件可以是由特權 Windows Print Spooler 進程加載的任意庫。"
具體而言,該漏洞允許威脅行為者通過連接到受其控制的惡意打印服務器,在易受攻擊的 Windows 機器上以系統權限執行任意代碼。
雖然該問題沒有解決方案,但 CERT/CC 建議配置“PackagePointAndPrintServerList”以防止從任意服務器安裝打印機並在網絡邊界阻止出站 SMB 流量,因為該漏洞的公開利用利用 SMB 連接到惡意共享打印機。
新問題只是PrintNightmare缺陷在上個月意外公開后的最新證據,導致發現了許多影響 Print Spooler 服務的漏洞。
鑒於缺乏有關CVE-2021-34481(安全研究員 Jacob Baines 報告的本地權限提升 (LPE) 缺陷)的詳細信息,目前尚不清楚該漏洞與這種新的 Print Spooler 簽名檢查繞過有什么聯系(如果有)考慮到 LPE 可能會相互影響。(歡迎轉載分享)