無窮無盡!微軟警告另一個未修補的Windows Print Spooler RCE漏洞

在釋出星期二補丁更新的第二天，微軟表示Windows Print Spooler 元件中的另一個遠端程式碼執行漏洞(RCE)，並補充道正在努力在即將釋出的安全更新中修復該問題。

被追蹤為CVE-2021-36958(CVSS 評分：7.3)，這個未修復的漏洞是最近幾個月被曝光的PrintNightmare bug列表中最新的一個。埃森哲安全公司人員因報告了該漏洞，他表示該問題已於2020年12月向微軟披露。

該公司在其公告中表示:“當Windows Print Spooler服務不當執行特權檔案操作時，就會存在遠端程式碼執行漏洞。”該公告重複了CVE-2021-34481的漏洞細節。成功利用此漏洞的攻擊者可以使用SYSTEM特權執行任意程式碼。然後攻擊者就可以安裝程式;檢視、更改或刪除資料;或者建立具有完全使用者許可權的新帳戶。”

值得注意的是，Windows製造商此後釋出更新以更改預設的指向和列印預設行為，有效地禁止非管理員使用者使用遠端計算機或伺服器的驅動程式，安裝或更新新的和現有的印表機驅動程式，而無需先將自己提升到管理員。

解決方案

Microsoft建議使用者停止並禁用Print Spooler服務，以防止惡意行為者利用該漏洞。CERT協調中心在漏洞說明中還建議使用者阻止出站SMB流量，以防止連線到惡意共享印表機。

由於禁用Print Spooler將阻止裝置列印，更好的方法是僅允許裝置從授權伺服器安裝印表機。

可以使用“打包指向和列印 - 批准的伺服器”組策略來完成此限制，防止非管理使用者使用指向和列印安裝列印驅動程式，除非列印伺服器在批准列表中。

要啟用此策略，啟動組策略編輯器 (gpedit.msc) 並導航到使用者配置>管理模板>控制皮膚>印表機> Package Point and Print – Approved Servers。

切換策略時，輸入希望允許用作列印伺服器的伺服器列表，然後按OK啟用該策略。如果網路上沒有列印伺服器，可以輸入一個假的伺服器名稱來啟用該功能。

使用此組策略將提供針對CVE-2021-36958漏洞的最佳保護，但不會阻止威脅行為者使用惡意驅動程式接管授權列印伺服器。

微軟不斷更新的漏洞補丁告訴我們，軟體中的安全漏洞為企業遭到網路攻擊提供了巨大的潛在風險。作為網路系統中最基礎的部分，軟體安全在網路安全中起到重要的作用。尤其網路犯罪團伙不斷掃描網路系統中的安全漏洞加以利用，提升軟體安全成為現有網路防護手段的重要補充。建議企業在軟體開發過程中及時透過 原始碼安全檢測查詢程式碼缺陷及執行時的安全漏洞，在編碼階段將可見的安全漏洞扼殺在搖籃，不給犯罪分子留下可乘之機，同時也能將企業修復漏洞成本降至較低水平。

參讀連結：

https://thehackernews.com/2021/08/microsoft-security-bulletin-warns-of.html