Windows 10 PrintNightmare 噩梦还没有结束

看起来 PrintNightmare 的情况在补丁星期二解决了,当时微软发布了一个应该解决这个问题的更改。 然而,似乎 PrintNightmare 还没有结束。

新的 PrintNightmare 漏洞

已发现新的零日打印假脱机程序漏洞。 它被跟踪为 CVE-2021-36958,它似乎允许黑客在 Windows PC 上获得系统访问权限。

与之前的漏洞利用一样,此漏洞攻击 Windows 打印后台处理程序、Windows 打印驱动程序和 Windows Point and Print 的设置。

该漏洞首先被发现 本杰明·德尔佩 (通过 哔哔电脑),它允许威胁行为者通过连接到远程打印服务器来获得系统访问权限。 微软 后来证实 问题是,“当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程代码执行漏洞。”


至于有人利用此漏洞可以做什么,微软表示,“成功利用此漏洞的攻击者可以使用系统权限运行任意代码。 然后攻击者可以安装程序; 查看、更改或删除数据; 或创建具有完全用户权限的新帐户。”

怎样保护自己?

不幸的是,我们必须等到微软发布补丁来修复这个新漏洞。 同时,您可以禁用 Print Spooler 或仅允许您的设备从授权服务器安装打印机。

要启用后者,您需要在 PC 上编辑组策略。 为此,请启动 gpedit.msc,然后单击“用户配置”。 接下来,单击“管理模板”,然后单击“控制面板”。 最后,转到“打印机”并单击“Package Point and Print – Approved Servers”。

进入 Package Point and Print – Approved Servers 后,输入您希望允许用作打印服务器或组成的服务器列表,然后按 OK 启用该策略。 这不是一个完美的解决方案,但它会帮助保护您,除非威胁行为者可以接管带有恶意驱动程序的授权打印服务器。

相关阅读:

Posted in: WindowsTags: