又一个未打补丁的漏洞!Microsoft就新Windows Print Spooler漏洞发出警报 – 作者:中科天齐软件安全中心

微软发布了一个新Windows Print Spooler 漏洞的安全公告，跟踪为CVE-2021-34481，于上周四披露。

网络安全研究员报告称，该漏洞是存在于Windows Print Spooler中的特权提升漏洞。本地攻击者可以利用该漏洞运行具有SYSTEM特权的任意代码。

微软发布消息称，当Windows Print Spooler服务不正确地执行特权文件操作时，存在特权提升漏洞。成功利用此漏洞的攻击者可以使用SYSTEM权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。但攻击者必须有能力在受害系统上执行代码才能利用此漏洞。

与PrintNightmare漏洞不同 ，新漏洞只能被本地攻击者利用来提升易受攻击设备的权限，因此它的CVSS 漏洞-严重性评分为7.8 分(满分10分)。

微软没有提供有关该问题的技术细节，目前尚不清楚哪些版本的Windows受到该缺陷的影响。

解决方案

Microsoft建议停止并禁用Print Spooler服务作为此漏洞的解决方法。

以下是建议中包含的解决方法：

确定 Print Spooler 服务是否正在运行

在 Windows PowerShell 中运行以下命令：

Get-Service -Name Spooler

如果 Print Spooler 正在运行或未禁用该服务，请执行以下步骤：

停止并禁用 Print Spooler 服务

如果停止和禁用Print Spooler服务适合您的环境，请在Windows PowerShell中运行以下命令：

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

解决方案中，停止和禁用Print Spooler服务会禁用本地和远程打印功能。

6月30日，研究人员公开发布了PrintNightmare Print Spooler漏洞 (CVE-2021-34527)的概念验证 (PoC)，该漏洞影响所有受支持的Windows版本

微软在周二的补丁更新中解决了CVE-2021-1675问题，但许多专家报告称，最初的补丁并没有完全解决这个问题。

上周四，微软发布另一个名为“Windows Print Spooler 远程代码执行漏洞”的漏洞通知，该漏洞可能是相同的漏洞，但使用不同的CVE编号CVE-2021-34527进行跟踪。微软澄清说，第二个缺陷类似于PrintNightmare漏洞，但这是一个不同的问题。

上周三，这家IT巨头发布了多个Windows版本的带外更新，以解决CVE-2021-34527和CVE-2021-1675缺陷。但网络安全专家再次发现，修补是不完整的。

尽管微软在不停更新漏洞补丁，但这并不意味着每次都成功解决了安全漏洞问题。通过数据显示，使用者并不是完全按照漏洞补丁的更次频率来更新自己的应用软件，这也在无形中增加了被网络犯罪分子攻击的风险。因此，为了减少这种延迟的更新情况，企业在开发软件应用过程中，应尽量减少或避免出现可以及时发现的安全漏洞，尤其在软件安全检测环节，除了动态应用安全测试外，加以静态代码安全检测，可以更早发现代码缺陷及一些无需运行代码即可发现的明显漏洞，这样在修改时可以节省查找代码位置的大量时间，同时也可以降低修改漏洞所花费的成本。

参读链接：

https://www.woocoom.com/b021.html?id=47bd17ede079469e9c44ce657173d7c1

https://securityaffairs.co/wordpress/120212/security/new-windows-print-spooler-vulnerability.html

来源：freebuf.com 2021-07-21 09:41:47 by: 中科天齐软件安全中心