Microsoft potwierdza kolejną lukę w zabezpieczeniach bufora wydruku

Microsoft potwierdził kolejną lukę dnia zerowego związaną z jego narzędziem Print Spooler, pomimo niedawno wydanych poprawek bezpieczeństwa bufora.

Nie mylić z inicjałem Luka PrintNightmare, albo inny niedawny exploit bufora wydruku, ten nowy błąd umożliwiłby lokalnemu napastnikowi uzyskanie uprawnień systemowych. Microsoft nadal bada błąd, określany jako CVE-2021-36958, więc nie udało się jeszcze zweryfikować, których wersji systemu Windows dotyczy problem. Nie ogłosił również, kiedy wyda aktualizację zabezpieczeń, ale stwierdza, że ​​rozwiązania są zwykle publikowane co miesiąc.

Według Syczący komputer, powodem, dla którego ostatnie aktualizacje zabezpieczeń firmy Microsoft nie pomagają, jest przeoczenie uprawnień administratora. Exploit polega na skopiowaniu pliku, który otwiera wiersz poleceń i sterownik drukarki, a do zainstalowania nowego sterownika drukarki potrzebne są uprawnienia administratora.

Jednak nowe aktualizacje wymagają tylko uprawnień administratora do instalacji sterownika — jeśli sterownik jest już zainstalowany, nie ma takich wymagań. Jeśli sterownik jest już zainstalowany na komputerze klienckim, osoba atakująca musiałaby po prostu połączyć się ze zdalną drukarką, aby uzyskać pełny dostęp do systemu.

Podobnie jak w przypadku poprzednich exploitów Print Spooler, Microsoft zaleca całkowite wyłączenie usługi (jeśli jest "odpowiednie" dla twojego środowiska). Chociaż usunęłoby to lukę w zabezpieczeniach, wyłączyłoby również możliwość zdalnego drukowania oraz lokalnie.

Zamiast uniemożliwiać sobie całkowite drukowanie, BleepingComputer sugeruje, aby system mógł instalować drukarki tylko z serwerów, które osobiście autoryzujesz. Zauważa jednak, że ta metoda nie jest idealna, ponieważ osoby atakujące mogą nadal instalować złośliwe sterowniki na autoryzowanym serwerze.