好不容易才搞定Windows打印多任务缓冲处理器(Print Spooler)两个漏洞,上周微软警告又有可让攻击者执行恶意程序的新漏洞,且还没有修补程序。微软紧急呼吁企业关闭Print Spooler服务。
最新发现的漏洞编号CVE-2021-34481,它是Windows Print Spooler服务中的本机权限升级(local Privilege Elevation)漏洞,是这项服务未正确验证而执行外部上传文件的结果。攻击者若成功开采,可将自有权限升级到系统(System)权限而在Windows域名控制器上执行任意程序代码,可安装恶意程序、修改或删除资料,或是创建具有完整使用权限的新账号。
CVE-2021-34481目前已经公开,虽然尚没有开采行动,但也没有修补程序,因此微软仍呼吁企业关闭Print Spooler服务。关闭这项服务也意味着用户无法于本地网络环境或远程打印。关闭的方法是在Windows PowerShell中使用以下指令:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
这项漏洞是Windows Print Spooler接连爆发CVE-2021-1675及CVE-2021-34527(PrintNightmare)后,最新发现的漏洞。
最新漏洞是由逆向工程师Jacob Baines发现,认为CVE-2021-34481并非PrintNightmare的变种,不过他原本计划在DEF Con安全大会上披露,因此并未说明细节。而且微软似乎也未知会他即公告于世。
微软说明,这个漏洞并不是前二者的修补引发的漏洞,而是早就存在的漏洞。此外,CVE-2021-34481不像前面两个具有远程程序代码执行(Remote Code Execution,RCE)的特性,只有本地权限升级(Local Elevation of Privilege,LPE)的属性。本漏洞CVSS 3.0风险层级为7.8。
但微软表示CVE-2021-34481的全貌目前还在研究中,包括影响的Windows版本。至于何时会修补,微软并未说明,只说正常情况下,CVE-2021-34481漏洞的修补程序会在之后的Patch Tuesday发布。
CVE-2021-1675和CVE-2021-34527都是8.8分的高风险漏洞,尤其是后者,微软还因此在正常的Patch Tuesday外发布例外更新。该漏洞传出有多起开采活动或意图,促使美国网络安全暨基础架构安全管理局(CISA)于上周发出紧急指令,要求联邦政府部门及相关单位限期安装微软于7月6日发布的Windows更新。