吳明宜Windows 多工列印緩衝服務再傳漏洞 還是先關閉列印服務再說
已經接連爆出兩個遠端程式碼執行 (remote code execution, RCE) 漏洞的 Windows 多列印緩衝處理服務 (Windows Spooler),上周四微軟又公告出現另一項漏洞,可讓本地攻擊者擴張權限在 Windows 網域控制器伺服器執行惡意程式。
編號 CVE-2021-34481 的新漏洞是由 Dragos 安全研究員 Jacob Baines 發現。微軟周四發佈安全公告,提供企業緩解建議。微軟表示,CVE-2021-34481 和本周初傳出的 PrintNightmare 漏洞並不相關,它僅能由本機用戶開採並提升到系統 (System) 權限,即本地權限擴張 (local privilege escalation, LPE),而且也是早就存在,並非前二個漏洞修補後發生或修補不全所致。PrintNightmare 和 5 月修補的 CVE-2021-1695 皆為 LPE 和 RCE 兼具的高風險漏洞,但最新漏洞為 CVSS 3.0 7.8 的中度風險漏洞。
不過除此之外,微軟對 CVE-2021-34481 還不甚了解,包括它影響了哪些版本 Windows 等等。微軟的安全公告建議管理員關閉 Print Spooler 服務以避免受害,如果關閉列印服務不會影響你的作業的話。根據微軟說明,管理員可以利用以下 PowerShell 指令來關閉 Print Spooler 服務。
- Stop-Service -Name Spooler -Force
- Set-Service -Name Spooler -StartupType Disabled
Baines 僅透露 CVE-2021-34481 並非 PrintNighmare 漏洞變種,和列印驅動程式有關(其實前面兩個漏洞也都和攻擊者上傳印表機驅動程式到 Active Directory 網域控制器 Windows 機器有關。)他預計在 8 月初的 Def Con 資安大會上的《Bring Your Own Print Driver Vulnerability》場次中公佈 CVE-2021-34481 細節。
針對高風險的 CVE-2021-34527,微軟本周緊急釋出安全更新,許多研究人員懷疑概念驗證 (PoC) 程式仍然有用,表示漏洞並沒補好,不過微軟認為 PoC 有效是因系統組態不安全所致,因此堅持漏洞已經補好。美國政府網路安全暨基礎架構安全管理署 (CISA) 上周也要求聯邦政府單位限期安裝修補程式。