Microsoft har bekreftet nok en nul-dagers feilsårbarhet knyttet til Print Spooler-verktøyet, til tross for nylig utgitte spooler-sikkerhetsfikser.
For ikke å forveksle med det innledende PrintNightmare-sårbarheten, eller den andre nye Print Spooler-utnyttelsen, vil denne nye feilen tillate en lokal angriper å få systemprivilegier. Microsoft undersøker fortsatt feilen, referert til som CVE-2021-36958, så den har ennå ikke vært i stand til å bekrefte hvilke Windows-versjoner som er berørt. Den har heller ikke annonsert når den vil utgi en sikkerhetsoppdatering, men opplyser at løsninger vanligvis utgis månedlig.
Ifølge BleepingComputer er grunnen til at Microsofts nylige sikkerhetsoppdateringer ikke hjelper på grunn av en forglemmelse angående administratorrettigheter. Utnyttelsen innebærer å kopiere en fil som åpner en ledetekst og en skriverdriver, og administratorrettigheter er nødvendig for å installere en ny skriverdriver.
De nye oppdateringene krever imidlertid bare administratorrettigheter for driverinstallasjon - hvis driveren allerede er installert er det ikke noe slikt krav. Hvis driveren allerede er installert på en klientdatamaskin, må en angriper ganske enkelt koble til en ekstern skriver for å få full systemtilgang.
Som med tidligere Print Spooler-utnyttelser, anbefaler Microsoft å deaktivere tjenesten helt (hvis den er "passende" for miljøet ditt). Selv om dette ville lukke sikkerhetsproblemet, ville det også deaktivere muligheten til å skrive ut eksternt og lok alt.
I stedet for å hindre deg selv i å kunne skrive ut helt, foreslår BleepingComputer at du bare lar systemet installere skrivere fra servere du personlig autoriserer. Den bemerker imidlertid at denne metoden ikke er perfekt, ettersom angripere fortsatt kan installere de ondsinnede driverne på en autorisert server.
