微软通报另一个未修复的Windows Print Spooler RCE漏洞

在发布补丁星期二更新的第二天，微软承认了 Windows Print Spooler 组件中的另一个远程代码执行漏洞，并补充说它正在努力在即将发布的安全更新中修复该问题。

被追踪为CVE-2021-36958（CVSS 评分：7.3），这个未修补的缺陷是最新加入一个统称为PrintNightmare的错误列表，这些错误在最近几个月一直困扰着打印机服务并被曝光。埃森哲安全公司 FusionX 的维克多·马塔 (Victor Mata) 因报告了该漏洞而受到赞誉，他表示，该问题已于 2020 年 12 月向微软披露。

“当 Windows Print Spooler 服务不正确地执行特权文件操作时，存在远程代码执行漏洞，”该公司在其带外公告中表示，与CVE-2021-34481的漏洞详细信息相呼应。“成功利用此漏洞的攻击者可以使用系统权限运行任意代码。然后攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。”

值得注意的是，Windows 制造商此后发布更新以更改默认的指向和打印默认行为，有效地禁止非管理员用户使用远程计算机或服务器的驱动程序安装或更新新的和现有的打印机驱动程序，而无需先将自己提升到行政人员。

作为变通方法，Microsoft 建议用户停止并禁用 Print Spooler 服务，以防止恶意行为者利用该漏洞。CERT 协调中心在漏洞说明中还建议用户阻止出站 SMB 流量，以防止连接到恶意共享打印机。