Microsoft hat trotz kürzlich veröffentlichter Spooler-Sicherheitskorrekturen eine weitere Zero-Day-Bug-Schwachstelle im Zusammenhang mit seinem Druckspooler-Dienstprogramm bestätigt.
Nicht zu verwechseln mit der ursprünglichen PrintNightmare-Schwachstelle oder dem anderen kürzlichen Druckspooler-Exploit, dieser neue Fehler würde es einem lokalen Angreifer ermöglichen, Systemprivilegien zu erlangen. Microsoft untersucht den als CVE-2021-36958 bezeichneten Fehler immer noch, konnte also noch nicht verifizieren, welche Windows-Versionen betroffen sind. Es hat auch nicht angekündigt, wann es ein Sicherheitsupdate veröffentlichen wird, gibt aber an, dass Lösungen normalerweise monatlich veröffentlicht werden.
Laut BleepingComputer helfen die jüngsten Sicherheitsupdates von Microsoft nicht, weil sie die Administratorrechte übersehen haben. Der Exploit beinh altet das Kopieren einer Datei, die eine Eingabeaufforderung und einen Druckertreiber öffnet, und Administratorrechte sind erforderlich, um einen neuen Druckertreiber zu installieren.
Die neuen Updates erfordern jedoch nur Administratorrechte für die Treiberinstallation - wenn der Treiber bereits installiert ist, besteht keine solche Anforderung. Wenn der Treiber bereits auf einem Client-Computer installiert ist, müsste ein Angreifer einfach eine Verbindung zu einem entfernten Drucker herstellen, um vollen Systemzugriff zu erh alten.
Wie bei früheren Druckspooler-Exploits empfiehlt Microsoft, den Dienst vollständig zu deaktivieren (wenn es für Ihre Umgebung "angemessen" ist). Während dies die Schwachstelle schließen würde, würde es auch die Möglichkeit deaktivieren, remote und lokal zu drucken.
Anstatt sich selbst am vollständigen Drucken zu hindern, schlägt BleepingComputer vor, Ihrem System nur zu erlauben, Drucker von Servern zu installieren, die Sie persönlich autorisiert haben. Es wird jedoch darauf hingewiesen, dass diese Methode nicht perfekt ist, da Angreifer die schädlichen Treiber immer noch auf einem autorisierten Server installieren könnten.
