微软安全响应中心发布的最新公告确认打印服务的新漏洞,发现这枚安全漏洞的并非微软而是安全行业的从业者。
但漏洞归属方面目前有点迷:名为DELPY的安全从业者在7月18日披露漏洞,微软则认为漏洞是Fusion X发现的。
微软安全响应中心将漏洞归因于埃森哲安全公司Fusion X研究者Victor Mata,这名研究者于去年12月发现漏洞。
那么问题来了:为何去年年底发现的漏洞到现在微软才披露呢?尤其是微软已经发布两轮补丁对该漏洞进行修复。
前两个月因为打印服务的相关漏洞微软已连续发布安全更新进行修复,期间还导致大量企业打印机无法正常使用。
但是实际上微软并没有彻底解决漏洞,正如微软最新发布的安全更新修改驱动程序安装权限也是用来缓解危害的。
最新披露的这枚漏洞同属PrintNightmare系列, 当Windows Print Spooler不正确地执行特权文件就会引发问题。
微软在漏洞描述中写道:成功利用漏洞的攻击者可使用系统权限执行任意代码,包括创建具有相同权限的新账户。
同时攻击者亦可利用此漏洞安装程序,查看、更改或删除文件,因此实际上这对用户尤其是企业用户危害还挺大。
然后这里又出现个新迷惑的地方:微软将这枚漏洞标注为远程代码执行,但实际上该漏洞需要在本地计算机执行。
CERT/CC漏洞分析师威尔多曼回应 BleepingComputer 时表示,这枚漏洞显然属于本地漏洞只是可以提升权限。
因此未来几天微软可能会将该漏洞的影响评级从远程代码执行修改为权限提升,漏洞严重性等级依然属于重要的。
尽管安全公告已经发布但微软并未发布对应的安全更新,所以当前使用者只能使用某些临时方案对漏洞进行缓解。
所谓临时方案也只有停止并禁用Print Spooler服务来移除攻击媒介, 但这可能会影响部分设备和打印机的运行等。
最佳做法应该是仅允许计算机从授权服务安装打印机,这样可以避免黑客利用漏洞安装打印机从而获得权限提升。
企业可以通过以下组策略进行配置:组策略、计算机配置、管理模板、打印机、程序包指向并打印批准的服务器。
将其默认的未配置修改为已启用即可,如果需要安装打印机则管理员需要提前配置服务器将其添加组策略设置中。
这样既不会影响继续使用打印机也可以阻止黑客利用漏洞,蓝点网估计微软这几天应该会发布带外更新修复漏洞。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/85450.html