Microsoft potwierdził kolejną lukę dnia zerowego związaną z jego narzędziem Print Spooler, pomimo niedawno wydanych poprawek zabezpieczeń bufora.
Nie mylić z początkową luką PrintNightmare lub innym niedawnym exploitem bufora wydruku, ten nowy błąd umożliwiłby lokalnemu napastnikowi uzyskanie uprawnień systemowych. Microsoft wciąż bada błąd, określany jako CVE-2021-36958, więc nie był jeszcze w stanie zweryfikować, których wersji systemu Windows dotyczy. Nie ogłosił również, kiedy wyda aktualizację zabezpieczeń, ale stwierdza, że rozwiązania są zwykle publikowane co miesiąc.
Według BleepingComputer, powodem, dla którego ostatnie aktualizacje zabezpieczeń firmy Microsoft nie pomagają, jest przeoczenie uprawnień administratora. Exploit polega na skopiowaniu pliku, który otwiera wiersz poleceń i sterownik drukarki, a do zainstalowania nowego sterownika drukarki potrzebne są uprawnienia administratora.
Jednak nowe aktualizacje wymagają jedynie uprawnień administratora do instalacji sterownika - jeśli sterownik jest już zainstalowany, nie ma takich wymagań. Jeśli sterownik jest już zainstalowany na komputerze klienckim, osoba atakująca musiałaby po prostu połączyć się ze zdalną drukarką, aby uzyskać pełny dostęp do systemu.
Podobnie jak w przypadku poprzednich exploitów bufora wydruku, firma Microsoft zaleca całkowite wyłączenie usługi (jeśli jest „odpowiednie” dla twojego środowiska). Chociaż usunęłoby to tę lukę, wyłączyłoby również możliwość zdalnego drukowania i lokalnie.
Zamiast uniemożliwiać sobie całkowite drukowanie, BleepingComputer sugeruje zezwalanie systemowi na instalowanie drukarek tylko z serwerów, które osobiście autoryzujesz. Zauważa jednak, że ta metoda nie jest idealna, ponieważ osoby atakujące mogą nadal instalować złośliwe sterowniki na autoryzowanym serwerze.