Microsoft a confirmat încă o vulnerabilitate de eroare zero-day legată de utilitarul său Print Spooler, în ciuda remediilor de securitate lansate recent pentru spooler.
Nu trebuie confundat cu vulnerabilitatea inițială PrintNightmare sau cu ceal altă exploatare recentă Print Spooler, această nouă eroare ar permite unui atacator local să obțină privilegii de sistem. Microsoft încă investighează eroarea, denumită CVE-2021-36958, așa că nu a putut încă să verifice ce versiuni de Windows sunt afectate. De asemenea, nu a anunțat când va lansa o actualizare de securitate, dar afirmă că soluțiile sunt de obicei lansate lunar.
Conform BleepingComputer, motivul pentru care actualizările recente de securitate ale Microsoft nu ajută este din cauza unei neglijeri privind privilegiile de administrator. Exploatarea implică copierea unui fișier care deschide un prompt de comandă și un driver de imprimare, iar privilegiile de administrator sunt necesare pentru a instala un nou driver de imprimare.
Cu toate acestea, noile actualizări necesită doar privilegii de administrator pentru instalarea driverului - dacă driverul este deja instalat, nu există o astfel de cerință. Dacă driverul este deja instalat pe un computer client, un atacator ar trebui pur și simplu să se conecteze la o imprimantă de la distanță pentru a obține acces complet la sistem.
Ca și în cazul exploatărilor anterioare Print Spooler, Microsoft recomandă dezactivarea completă a serviciului (dacă este „adecvat” pentru mediul dvs.). Deși acest lucru ar închide vulnerabilitatea, ar dezactiva și capacitatea de a imprima de la distanță șila nivel local.
În loc să vă împiedicați să puteți imprima în întregime, BleepingComputer sugerează să permiteți sistemului dvs. să instaleze imprimante numai de pe serverele pe care le autorizați personal. Totuși, observă că această metodă nu este perfectă, deoarece atacatorii ar putea încă instala driverele rău intenționate pe un server autorizat.
