PrintNightmare仍在继续:另一个零日假脱机打印程序等待补丁(cve - 2021 - 36958)
![](http://www.yyueer.com/sites/default/files/images/articles/Blog-Research-SRT-Max-Quality.jpg)
微软继续工作确保Windows假脱机打印程序经过几个漏洞已经披露。一个仍然没有修补,尽管新的限制点和打印功能。
背景
在过去的几个月里,微软已经清算的一系列漏洞Windows打印后台处理程序,服务提供打印机功能域控制器——这是默认启用——台式机和服务器。
在其8月星期二补丁发布,微软在Windows假脱机打印程序的漏洞发布几个补丁,几个月的公众监督服务。微软还介绍了重大变化的点和打印功能打印后台处理程序。
6月以来,微软已经宣布七个在假脱机打印程序漏洞研究人员继续分析服务和逆向补丁,发现更多的缺陷。到目前为止,从微软的解决方案都没有完全解决的问题打印后台处理程序服务。
CVE | 影响 | CVSSv3 | 冲程体积* |
---|---|---|---|
cve - 2021 - 1675 | Windows假脱机打印程序远程代码执行漏洞 | 8.8 | 9.8 |
cve - 2021 - 34527 | Windows假脱机打印程序远程代码执行漏洞(“PrintNightmare”) | 8.8 | 9.8 |
cve - 2021 - 34481 | Windows假脱机打印程序远程代码执行漏洞 | 8.8 | 9.4 |
cve - 2021 - 36936 | Windows假脱机打印程序远程代码执行漏洞 | 8.8 | 9.2 |
cve - 2021 - 36947 | Windows假脱机打印程序远程代码执行漏洞 | 8.8 | 9.0 |
cve - 2021 - 34483 | Windows假脱机打印程序的特权的脆弱性 | 7.8 | 6.7 |
cve - 2021 - 36958 | Windows假脱机打印程序远程代码执行漏洞 | 7.3 | 9.6 |
*请注意:站得住脚的脆弱性优先级评级(冲程体积)的分数计算。这篇文章发表在8月18日,反映了当时冲程体积。
分析
情况开始1675年6月与cve - 2021并迅速失去包含超过半打漏洞更多的谣言。有困惑,研究人员发表的一个概念验证(PoC)称为“PrintNightmare,”声明为cve - 2021 - 1675,它实际上是一个明显的漏洞。漏洞,真正的PrintNightmare之后收到了CVE标识符cve - 2021 - 34527和一个带外补丁。远程代码执行漏洞都是缺陷(远端控制设备)和已经被利用在野外ransomware团体Magniber和副社会。
第二带外咨询7月假脱机打印程序漏洞的披露
cve - 2021 - 34481是另一个远端控制设备,但像cve - 2021 - 1675,原本是标注海拔特权(bgi的脆弱性。在一个带外信息披露作为零日咨询7月15日。雅各布·贝恩斯,因发现cve - 2021 - 34481,提出了他的工作DEF CON 29并发表了一个利用的工具GitHub。这个漏洞允许低特权用户安装脆弱的打印驱动程序到目标系统,可以利用来实现系统的特权。
8月周二发布地址三个假脱机打印程序漏洞补丁
cve - 2021 - 36936和cve - 2021 - 36947是远端控制设备的Windows假脱机打印程序漏洞打补丁的一部分吗8月补丁周二发布。这些漏洞被研究人员认为,这意味着微软内部发现他们。cve - 2021 - 34483是高度的特权的脆弱性,在8月也修补。这是归功于维克多马塔与FusionX埃森哲安全和蒂博van Geluwe。马塔州他最初报道cve - 2021 - 34483 12月微软并没有公布细节每微软的请求。
第三带外咨询假脱机打印程序漏洞公布8月
cve - 2021 - 36958是另一个作为零日漏洞披露的带外信息咨询在8月11日。8月18日,它没有被修补。根据微软的咨询,这是一个远端控制设备,但有困惑的无论是地方特权升级。微软州他们正在调查该漏洞补丁和工作。cve - 2021 - 36958也归功于马塔,谁说他将发布一个完整的帐面价值的这种脆弱性和cve - 2021 - 34483一次微软发布补丁cve - 2021 - 36958。这个缺陷是由便雅悯deply公开披露Twitter在7月。
微软为Windows上的点和打印函数更改默认行为系统
在8月发布的补丁,微软推出了更改默认行为的点和打印,在几个利用循环的一个关键功能。根据知识库文章宣布改变,现在安装或更新打印驱动程序需要管理员权限。这意味着非管理员用户不能添加新的打印机系统。这种变化是专门叫cve - 2021 - 34481咨询。
概念验证
有几个poc循环,许多本杰明deply在推特上和GitHub各种漏洞。
解决方案
打印后台处理程序服务是大多数系统上默认启用,因此包括域控制器和一个有吸引力的目标威胁演员。因为微软尚未完全解决已知的漏洞,组织应该考虑禁用打印后台处理程序。如果这是不可行的,确保系统有最新的更新。
确定影响系统
站得住脚的插件的列表来确定可以找到的漏洞修补在这里。
获得更多的信息
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。