Microsoft confirmă o altă vulnerabilitate a spoolerului de imprimare

Microsoft a confirmat încă o vulnerabilitate de eroare zero-day legată de utilitarul său Print Spooler, în ciuda remediilor de securitate spooler lansate recent.

A nu se confunda cu initiala Vulnerabilitatea PrintNightmare, sau altă exploatare recentă Print Spooler, această nouă eroare ar permite unui atacator local să obțină privilegii de sistem. Microsoft încă investighează eroarea, denumită CVE-2021-36958, așa că încă nu a putut verifica ce versiuni de Windows sunt afectate. De asemenea, nu a anunțat când va lansa o actualizare de securitate, dar afirmă că soluțiile sunt de obicei lansate lunar.

Conform BleepingComputer, motivul pentru care actualizările recente de securitate ale Microsoft nu ajută este din cauza unei neglijeri privind privilegiile de administrator. Exploatarea implică copierea unui fișier care deschide un prompt de comandă și un driver de imprimare, iar privilegiile de administrator sunt necesare pentru a instala un nou driver de imprimare.

Cu toate acestea, noile actualizări necesită doar privilegii de administrator pentru instalarea driverului – dacă driverul este deja instalat, nu există o astfel de cerință. Dacă driverul este deja instalat pe un computer client, un atacator ar trebui pur și simplu să se conecteze la o imprimantă de la distanță pentru a obține acces complet la sistem.

Ca și în cazul exploatărilor anterioare Print Spooler, Microsoft recomandă dezactivarea completă a serviciului (dacă este „adecvat” pentru mediul dumneavoastră). Deși acest lucru ar închide vulnerabilitatea, ar dezactiva și capacitatea de a imprima de la distanță și pe plan local.

În loc să vă împiedicați să puteți imprima în întregime, BleepingComputer sugerează să permiteți sistemului dumneavoastră să instaleze imprimante doar de pe serverele pe care le autorizați personal. Totuși, observă că această metodă nu este perfectă, deoarece atacatorii ar putea încă instala driverele rău intenționate pe un server autorizat.