新的 PrintNightmare 漏洞
已发现新的零日打印假脱机程序漏洞。它被跟踪为 CVE-2021-36958,它似乎允许黑客在 Windows PC 上获得系统访问权限。
与之前的漏洞利用一样,此漏洞攻击 Windows 打印后台处理程序、Windows 打印驱动程序和 Windows Point and Print 的设置。
该漏洞首先由 Benjamin Delpy(通过Bleeping Computer)发现,它允许威胁行为者通过连接到远程打印服务器来获得系统访问权限。微软后来证实了这些问题,称“当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程代码执行漏洞。”
至于有人利用此漏洞可以做什么,微软表示,“成功利用此漏洞的攻击者可以使用系统权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。”
如何保护自己?
不幸的是,我们必须等到微软发布补丁来修复这个新漏洞。同时,您可以禁用 Print Spooler 或仅允许您的设备从授权服务器安装打印机。
要启用后者,您需要在 PC 上编辑组策略。为此,请启动 gpedit.msc,然后单击“用户配置”。接下来,单击“管理模板”,然后单击“控制面板”。最后,转到“打印机”并单击“Package Point and Print – Approved Servers”。
进入 Package Point and Print – Approved Servers 后,输入您希望允许用作打印服务器或组成一个的服务器列表,然后按 OK 以启用该策略。这不是一个完美的解决方案,但它会帮助保护您,除非威胁行为者可以接管带有恶意驱动程序的授权打印服务器。
正文完
