Microsoft потвърди друга уязвимост на спулера за печат

Microsoft потвърди още една уязвимост за грешки от нулев ден, свързана с нейната помощна програма Print Spooler, въпреки наскоро пуснатите корекции за сигурност на спулера.

Да не се бърка с инициала Уязвимост PrintNightmare, или друг скорошен експлоат на Print Spooler, тази нова грешка ще позволи на локален нападател да получи системни привилегии. Microsoft все още разследва грешката, наречена CVE-2021-36958, така че все още не е успял да провери кои версии на Windows са засегнати. Той също така не е обявил кога ще пусне актуализация на сигурността, но заявява, че решенията обикновено се пускат ежемесечно.

Според BleepingComputer, причината, поради която последните актуализации на сигурността на Microsoft не помагат, е поради пропуск по отношение на администраторските права. Експлойтът включва копиране на файл, който отваря команден ред и драйвер за печат, и са необходими администраторски права за инсталиране на нов драйвер за печат.

Въпреки това, новите актуализации изискват само администраторски права за инсталиране на драйвери - ако драйверът вече е инсталиран, няма такова изискване. Ако драйверът вече е инсталиран на клиентски компютър, нападателят просто ще трябва да се свърже с отдалечен принтер, за да получи пълен достъп до системата.

Както при предишни експлоати на Print Spooler, Microsoft препоръчва да деактивирате услугата изцяло (ако е „подходяща“ за вашата среда). Въпреки че това би затворило уязвимостта, това също би деактивирало възможността за отдалечен печат и локално.

Вместо да се предпазите от възможността да печатате изцяло, BleepingComputer предлага да разрешите на вашата система само да инсталира принтери от сървъри, които лично упълномощавате. Той отбелязва обаче, че този метод не е перфектен, тъй като нападателите все още могат да инсталират злонамерените драйвери на оторизиран сървър.