尽管有第二个补丁,但"PrintNightmare"再次出现
更新时间:2021-08-13 11:37:56 浏览次数:951+次微软一直在处理一个漏洞,黑客可以通过安装受损的打印机驱动程序来接管个人电脑,至今已有近一个月的时间,但似乎这个问题甚至比微软预计的还要复杂和深入。
尽管最近打了一个补丁,改变了Windows 10的默认值,并阻止标准用户安装打印机驱动程序,但黑客已经找到了一个旁路,仍然允许标准用户的权限升级。
Benjamin Delpy表明,黑客只需连接到远程打印服务器,通过使用CopyFile注册表指令复制一个DLL文件,在连接打印机时将命令提示符与打印驱动一起打开到客户端,就可以迅速获得SYSTEM权限。
微软已经在CVE-2021-36958咨询中承认了这个问题,并说:
当Windows Print Spooler服务不适当地执行特权文件操作时,存在一个远程代码执行漏洞。成功利用该漏洞的攻击者可以用系统权限运行任意代码。然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完整用户权限的新账户。
此漏洞的解决方法是停止和禁用Print Spooler服务。
虽然微软称其为远程代码执行漏洞,但该漏洞似乎是一个本地权限升级的漏洞,这至少应该为网络管理员提供一些保证。
微软再次建议管理员禁用Print Spooler,从而禁用Windows的打印功能。另一个不被微软推荐的解决方法是,通过使用 “包点和打印–批准的服务器 “组策略,将你可以连接的打印机限制在一个特定的列表中。在BleepingComputer网站上阅读如何做到这一点。