Microsoft bekräftar ytterligare en sårbarhet i Print Spooler

Microsoft har bekräftat ytterligare en noll-dagars-buggsårbarhet kopplad till dess Print Spooler-verktyg, trots nyligen släppta säkerhetskorrigeringar för spooler.

Ej att förväxla med initialen PrintNightmare sårbarhet, eller den annan nyligen utnyttjad Print Spooler, skulle detta nya fel tillåta en lokal angripare att få systemprivilegier. Microsoft undersöker fortfarande felet, kallat CVE-2021-36958, så det har ännu inte kunnat verifiera vilka Windows-versioner som påverkas. Den har inte heller meddelat när den kommer att släppa en säkerhetsuppdatering, men uppger att lösningar vanligtvis släpps varje månad.

Enligt Bleeping Computer, anledningen till att Microsofts senaste säkerhetsuppdateringar inte hjälper är på grund av en förbiseende angående administratörsbehörigheter. Exploateringen innebär att du kopierar en fil som öppnar en kommandotolk och en skrivardrivrutin, och administratörsbehörigheter krävs för att installera en ny skrivardrivrutin.

De nya uppdateringarna kräver dock bara administratörsbehörighet för drivrutinsinstallation – om drivrutinen redan är installerad finns inget sådant krav. Om drivrutinen redan är installerad på en klientdator skulle en angripare helt enkelt behöva ansluta till en fjärrskrivare för att få full systemåtkomst.

Som med tidigare Print Spooler-exploater rekommenderar Microsoft att du inaktiverar tjänsten helt (om det är "lämpligt" för din miljö). Även om detta skulle stänga sårbarheten, skulle det också inaktivera möjligheten att skriva ut på distans och lokalt.

Istället för att hindra dig själv från att kunna skriva ut helt och hållet, föreslår BleepingComputer att du endast tillåter ditt system att installera skrivare från servrar som du personligen auktoriserar. Den noterar dock att den här metoden inte är perfekt, eftersom angripare fortfarande kan installera de skadliga drivrutinerna på en auktoriserad server.