Microsoft警告另一个未修补的Windows后台打印程序RCE漏洞

在发布补丁周二更新一天后，微软承认Windows打印后台处理程序组件中存在另一个远程代码执行漏洞，并补充说，它正在努力在即将到来的安全更新中修复该问题。

这一未修补的缺陷被追踪为CVE-2021-36958（CVSS分数：7.3），是最近几个月来困扰打印机服务并曝光的一系列错误中最新的一个。埃森哲安全（Accenture Security）FusionX的维克多·马塔（Victor Mata）被认为是报告该漏洞的罪魁祸首，他表示，该问题已于2020年12月向微软披露。

该公司在其带外公告中表示：“当Windows打印后台处理程序服务不正确地执行特权文件操作时，存在远程代码执行漏洞。”该公告呼应了CVE-2021-34481的漏洞详细信息。成功利用此漏洞的攻击者可以使用系统权限运行任意代码。然后，攻击者可以安装程序、查看、更改或删除数据，或者创建具有完全用户权限的新帐户

值得注意的是，Windows maker后来发布了更新，以更改默认点和打印默认行为，有效地禁止非管理员用户使用远程计算机或服务器上的驱动程序安装或更新新的和现有的打印机驱动程序，而无需先将自己提升为管理员。

作为解决办法，微软建议用户停止并禁用后台打印程序服务，以防止恶意参与者利用该漏洞。CERT Coordination Center在一份漏洞说明中还建议用户阻止出站SMB流量，以防止连接到恶意共享打印机。