Windows多工列印緩衝服務再傳漏洞 還是先關閉列印服務再說

接連爆出兩個漏洞的Windows多列印緩衝處理服務,上周四微軟又公告出現另一項漏洞,可讓本地攻擊者擴張權限在Windows網域控制器伺服器執行惡意程式。

已經接連爆出兩個遠端程式碼執行(remote code execution, RCE)漏洞的Windows多列印緩衝處理服務(Windows Spooler),上周四微軟又公告出現另一項漏洞,可讓本地攻擊者擴張權限在Windows網域控制器伺服器執行惡意程式。

編號CVE-2021-34481的新漏洞是由Dragos安全研究員Jacob Baines發現。微軟周四發佈安全公告,提供企業緩解建議。微軟表示,CVE-2021-34481和本周初傳出的PrintNightmare漏洞並不相關,它僅能由本機用戶開採並提升到系統(System)權限,即本地權限擴張(local privilege escalation, LPE),而且也是早就存在,並非前二個漏洞修補後發生或修補不全所致。PrintNightmare和5月修補的CVE-2021-1695皆為LPE和RCE兼具的高風險漏洞,但最新漏洞為CVSS 3.0 7.8的中度風險漏洞。

不過除此之外,微軟對CVE-2021-34481還不甚了解,包括它影響了哪些版本Windows等等。微軟的安全公告建議管理員關閉Print Spooler服務以避免受害,如果關閉列印服務不會影響你的作業的話。根據微軟說明,管理員可以利用以下PowerShell指令來關閉Print Spooler服務。

  • Stop-Service -Name Spooler -Force
  • Set-Service -Name Spooler -StartupType Disabled

Baines僅透露CVE-2021-34481並非PrintNighmare漏洞變種,和列印驅動程式有關(其實前面兩個漏洞也都和攻擊者上傳印表機驅動程式到Active Directory網域控制器Windows機器有關。)他預計在8月初的Def Con資安大會上的《Bring Your Own Print Driver Vulnerability》場次中公佈CVE-2021-34481細節。

針對高風險的CVE-2021-34527,微軟本周緊急釋出安全更新,許多研究人員懷疑概念驗證(PoC)程式仍然有用,表示漏洞並沒補好,不過微軟認為PoC有效是因系統組態不安全所致,因此堅持漏洞已經補好。美國政府網路安全暨基礎架構安全管理署(CISA)上周也要求聯邦政府單位限期安裝修補程式。

來源:Bleeping Computer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416