Microsoft потвърди още една уязвимост на бъг от нулев ден, свързана с неговата помощна програма Print Spooler, въпреки наскоро пуснатите поправки за защита на спулера.
Да не се бърка с първоначалната уязвимост на PrintNightmare или другия скорошен експлойт на Print Spooler, този нов бъг ще позволи на локален атакуващ да получи системни привилегии. Microsoft все още проучва грешката, посочена като CVE-2021-36958, така че все още не е успяла да провери кои версии на Windows са засегнати. Също така не е обявено кога ще пусне актуализация за защита, но се посочва, че решенията обикновено се пускат всеки месец.
Според BleepingComputer, причината, поради която последните актуализации на сигурността на Microsoft не помагат, е поради пропуск по отношение на администраторските привилегии. Експлойтът включва копиране на файл, който отваря команден ред и драйвер за печат, и са необходими администраторски привилегии за инсталиране на нов драйвер за печат.
Въпреки това, новите актуализации изискват само администраторски привилегии за инсталиране на драйвер - ако драйверът вече е инсталиран, няма такова изискване. Ако драйверът вече е инсталиран на клиентски компютър, нападателят просто ще трябва да се свърже с отдалечен принтер, за да получи пълен достъп до системата.
Както при предишните експлойти на Print Spooler, Microsoft препоръчва да деактивирате изцяло услугата (ако е „подходяща“за вашата среда). Въпреки че това ще затвори уязвимостта, то също ще деактивира възможността за отдалечен печат и локално.
Вместо да се предпазите от възможността да печатате изцяло, BleepingComputer предлага да позволите на вашата система да инсталира само принтери от сървъри, които лично сте упълномощили. Отбелязва се обаче, че този метод не е перфектен, тъй като нападателите все още могат да инсталират злонамерените драйвери на оторизиран сървър.
