尽管有第二个补丁，PrintNightmare 又回来了

近一个月来，微软一直在处理一个漏洞，黑客可以通过安装受损的打印机驱动程序来接管个人电脑，但似乎这个问题比微软预期的更复杂、更深入。

尽管一个最近的补丁 它改变了 Windows 10 上的默认设置并阻止标准用户安装打印机驱动程序，黑客发现了一个仍然允许标准用户提升权限的绕过方法。

Benjamin Delpy 表明，黑客可以通过连接到远程打印服务器快速获得 SYSTEM 权限，方法是使用 CopyFile 注册表指令复制一个 DLL 文件，当您连接到打印机时，该文件会打开一个命令提示符到客户端以及打印驱动程序.

微软已经承认了这个问题 咨询 CVE-2021-36958， 他说：

当 Windows Print Spooler 服务不正确地执行特权文件操作时，存在远程执行代码漏洞。 成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。 然后攻击者可以安装程序； 查看、更改或删除数据； 或创建具有完全用户权限的新帐户。

此漏洞的解决方法是停止并禁用 Print Spooler 服务。

虽然微软称其为远程代码执行漏洞，但该漏洞似乎是一个本地权限升级漏洞，至少应该为网络管理员提供一些保证。

Microsoft 再次建议管理员禁用 Print Spooler，从而禁用从 Windows 打印。 Microsoft 不推荐的另一种解决方法是通过使用“打包点和打印 - 批准的服务器”组策略将可以连接的打印机限制到特定列表。 阅读如何做到这一点 在 BleepingComputer 这里。