XNUMX番目のパッチにもかかわらず、PrintNightmareが再び戻ってきました

マイクロソフトは、ハッカーが侵害されたプリンタードライバーをインストールすることで、PCを乗っ取ることができるという脆弱性に対処してきましたが、この問題はマイクロソフトが予想していたよりも複雑で深刻なもののようです。

絶望ea最近のパッチ これにより、Windows 10のデフォルトが変更され、標準ユーザーがプリンタードライバーをインストールできなくなりましたが、ハッカーは、標準ユーザーの特権の昇格を許可するバイパスを発見しました。

Benjamin Delpyは、CopyFileレジストリディレクティブを使用してDLLファイルをコピーし、プリンターに接続したときに印刷ドライバーとともにコマンドプロンプトをクライアントに開くことにより、ハッカーがリモートプリントサーバーに接続するだけでシステム特権をすばやく取得できることを示しました。 。

マイクロソフトは、 アドバイザリーCVE-2021-36958、 と言って：

Windows Print Spoolerサービスが特権ファイル操作を不適切に実行すると、リモートでコードが実行される脆弱性が存在します。 この脆弱性を悪用した攻撃者は、SYSTEM権限で任意のコードを実行する可能性があります。 その後、攻撃者はプログラムをインストールする可能性があります。 データの表示、変更、または削除。 または、完全なユーザー権限で新しいアカウントを作成します。

この脆弱性の回避策は、PrintSpoolerサービスを停止して無効にすることです。

マイクロソフトはこれをリモートコード実行の脆弱性と呼んでいますが、このエクスプロイトはローカル特権昇格のバグのようであり、少なくともネットワーク管理者にある程度の安心感を与えるはずです。

Microsoftは、管理者がPrint Spoolerを無効にして、Windowsからの印刷を無効にすることを再度推奨しています。 Microsoftが推奨していない別の回避策は、「パッケージポイントと印刷-承認済みサーバー」グループポリシーを使用して、接続できるプリンターを特定のリストに制限することです。 それを行う方法を読む こちらのBleepingComputerで。