微软一直在处理一个漏洞,黑客可以通过安装受感染的打印机驱动程序来控制 PC,但这个问题似乎比微软预期的更复杂、更深入。
尽管最近的补丁更改了 Windows 10 上的默认设置并阻止了标准用户安装打印机驱动程序,但黑客还是找到了一个仍然允许标准用户提升权限的绕过方法。
Benjamin Delpy 已经表明,黑客可以通过连接到远程打印服务器快速获得系统权限,通过使用 CopyFile 注册表指令复制一个 DLL 文件,当您连接到打印机时,该文件向客户端打开命令提示符以及打印驱动程序.
微软已在咨询 CVE-2021-36958 中承认了该问题,并表示:
当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
此漏洞的解决方法是停止并禁用 Print Spooler 服务。
虽然微软称其为远程代码执行漏洞,但该漏洞似乎是一个本地权限提升漏洞,至少应该为网络管理员提供一些保证。
Microsoft 再次建议管理员禁用 Print Spooler,从而禁用 Windows 打印。Microsoft 不推荐的另一种解决方法是使用“Package Point and print – Approved servers”组策略将您可以连接到的打印机限制到特定列表。
