Microsoft подтвердила наличие еще одной уязвимости нулевого дня, связанной с ее утилитой диспетчера очереди печати, несмотря на недавно выпущенные исправления безопасности диспетчера очереди печати.
Не путать с первоначальной уязвимостью PrintNightmare или другим недавним эксплойтом диспетчера очереди печати. Эта новая ошибка позволит локальному злоумышленнику получить системные привилегии. Microsoft все еще исследует ошибку, известную как CVE-2021-36958, поэтому пока не удалось проверить, какие версии Windows затронуты. Он также не объявил, когда выпустит обновление для системы безопасности, но заявил, что решения обычно выпускаются ежемесячно.
Согласно BleepingComputer, причина, по которой последние обновления безопасности Microsoft не помогают, заключается в недосмотре в отношении привилегий администратора. Эксплойт включает в себя копирование файла, который открывает командную строку и драйвер печати, а для установки нового драйвера печати требуются права администратора.
Однако для новых обновлений требуются только права администратора для установки драйвера - если драйвер уже установлен, такого требования нет. Если драйвер уже установлен на клиентском компьютере, злоумышленнику нужно будет просто подключиться к удаленному принтеру, чтобы получить полный доступ к системе.
Как и в случае с предыдущими эксплойтами диспетчера очереди печати, Microsoft рекомендует полностью отключить эту службу (если она «соответствует» вашей среде). Хотя это закроет уязвимость, оно также отключит возможность удаленной печати и локально.
Вместо того, чтобы лишить вас возможности печатать полностью, BleepingComputer предлагает разрешить вашей системе устанавливать принтеры только с серверов, которые вы лично авторизовали. Однако отмечается, что этот метод не идеален, поскольку злоумышленники все равно могут установить вредоносные драйверы на авторизованный сервер.