Windows print spooler再爆0 day漏洞。

　　8月11日，微软发布安全公告确认了Windows print spooler中的另一个0 day漏洞——CVE-2021-36958。该漏洞是PrintNightmare 漏洞的一部分，即一类滥用Windows print spooler、打印机驱动和其他Windows打印特征的配置设置的漏洞。本地攻击者利用该漏洞可以将权限提升到SYSTEM级。

　　此前，研究人员也发现了多个PrintNightmare 漏洞，包括CVE-2021-34483、CVE-2021-1675 和CVE-2021-34527。微软已于7月和8月发布了安全更新来修复不同的PrintNightmare漏洞。

　　CVE-2021-36958

　　攻击者利用该漏洞可以仅仅通过连接到远程打印机服务器就可以获取system权限，PoC视频参见：https://player.vimeo.com/video/581584478

　　当用户连接到打印机时，该漏洞使用CopyFile注册表指令来复制dll文件来打开一个命令行矿工。微软最近的安全更新修改了打印机驱动的安装过程，因此当驱动安装后连接到打印机无需管理员权限。

　　此外，如果驱动存在于客户端中，无需安装，那么非管理员用户连接到远程打印机仍然会执行CopyFile注册表指令。这一弱点使得攻击者可以复制DLL文件到客户端，并执行打开SYSTEM级命令窗口。

　　微软发布CVE-2021-36958安全公告

　　8月11日，微软发布CVE-2021-36958漏洞的安全公告，称这是一个新的Windows Print Spooler漏洞——CVE-2021-36958。称该漏洞是由于Windows Print Spooler服务处理特权文件操作不当引起的。成功利用该漏洞的攻击者可以以SYSTEM权限运行任意代码，然后安装程序、查看、修改或删除数据、或创建完全用户权限的新账户。

　　CVE-2021-36958漏洞缓解

　　微软并未发布该漏洞的安全更新，但称用户可以禁用Print Spooler服务来移除该攻击量。禁用Print Spooler可以防止设备打印，更好的方法就是只允许设备从授权的服务器安装打印机。

　　这一限制可以通过组策略“Package Point and print - Approved servers”来实现，通过组策略的设置可以预防非管理员用户使用Point and Print安装打印机驱动，除非打印机在批准的列表中。组策略的配置方式如下所示：

　　进入组策略编辑器（gpedit.msc），进入用户配置—>管理员模板—>控制面板打印机—> Package Point and Print—>批准的服务器。