Microsoft bekræfter endnu en Print Spooler-sårbarhed

Microsoft har bekræftet endnu en nul-dages fejlsårbarhed knyttet til dets Print Spooler-værktøj, på trods af nyligt udgivne spooler-sikkerhedsrettelser.

Ikke at forveksle med initialen PrintNightmare sårbarhed, eller den anden nylig udnyttelse af Print Spooler, ville denne nye fejl give en lokal angriber mulighed for at få systemprivilegier. Microsoft efterforsker stadig fejlen, kaldet CVE-2021-36958, så det har endnu ikke været i stand til at verificere, hvilke Windows-versioner der er berørt. Den har heller ikke annonceret, hvornår den vil udgive en sikkerhedsopdatering, men oplyser, at løsningerne typisk udgives månedligt.

Ifølge Bleeping Computer, grunden til, at Microsofts seneste sikkerhedsopdateringer ikke hjælper, er på grund af en forglemmelse vedrørende administratorrettigheder. Udnyttelsen involverer kopiering af en fil, der åbner en kommandoprompt og en printerdriver, og administratorrettigheder er nødvendige for at installere en ny printerdriver.

De nye opdateringer kræver dog kun administratorrettigheder til driverinstallation - hvis driveren allerede er installeret, er der ikke et sådant krav. Hvis driveren allerede er installeret på en klientcomputer, skal en hacker blot oprette forbindelse til en fjernprinter for at få fuld systemadgang.

Som med tidligere Print Spooler-udnyttelser, anbefaler Microsoft at deaktivere tjenesten helt (hvis det er "passende" for dit miljø). Selvom dette ville lukke sårbarheden, ville det også deaktivere muligheden for at udskrive eksternt og lokalt.

I stedet for at forhindre dig selv i at kunne udskrive helt, foreslår BleepingComputer kun at tillade dit system at installere printere fra servere, du personligt autoriserer. Det bemærker dog, at denne metode ikke er perfekt, da angribere stadig kan installere de ondsindede drivere på en autoriseret server.