與微軟Windows打印機(jī)的相關(guān)問題的噩夢(mèng)揮之不去，今天早些時(shí)候，該公司確認(rèn)了Windows Print Spooler服務(wù)的一個(gè)新的安全漏洞。這個(gè)新的漏洞被編號(hào)為CVE-2021-36958。微軟表示，當(dāng)Windows Print Spooler服務(wù)不適當(dāng)?shù)貓?zhí)行特權(quán)文件操作時(shí)，存在一個(gè)遠(yuǎn)程代碼執(zhí)行的漏洞，成功利用該漏洞的攻擊者可以用系統(tǒng)權(quán)限運(yùn)行任意代碼。

然后，攻擊者可以安裝程序;查看、更改或刪除數(shù)據(jù);或創(chuàng)建具有完全用戶權(quán)限的新賬戶。

那些一直密切關(guān)注此事的人可能會(huì)注意到，這個(gè)新問題與正在發(fā)生的PrintNightmare漏洞有關(guān)，該公司幾天前曾為此發(fā)布了一個(gè)補(bǔ)丁。微軟聲稱，該補(bǔ)丁應(yīng)該在很大程度上有助于緩解這個(gè)問題，因?yàn)樗F(xiàn)在需要管理員權(quán)限來實(shí)現(xiàn)打印驅(qū)動(dòng)的安裝和更新操作。然而，在已經(jīng)安裝了打印機(jī)驅(qū)動(dòng)程序的系統(tǒng)上，可能是威脅者的非管理員用戶仍然可以利用該漏洞。

值得注意的是，該漏洞被標(biāo)記為遠(yuǎn)程代碼執(zhí)行(RCE)，但CERT的Will Dormann表示，這顯然是本地權(quán)限升級(jí)漏洞(LPE)。事實(shí)上，在該漏洞的文檔中，微軟自己將攻擊媒介描述為本地。

微軟對(duì)此正在進(jìn)行修復(fù)工作，并再一次建議用戶在非必要的情況下禁用Windows Print Spooler服務(wù)作為臨時(shí)的變通辦法。然而，安全研究員Benjamin Delpy說他有一個(gè)比完全禁用打印服務(wù)更好的方法。建議用戶通過使用Windows組策略中的Windows"Package Point and Print - Approved Servers"選項(xiàng)，將打印功能只限制在批準(zhǔn)的服務(wù)器上。