几天前,我们得知一个名字叫 "PrintNightmare"几乎所有的新漏洞都会受到影响Windows使用设备Windows Print Spooler未受保护的服务功能触发远程代码执行(RCE)。网络安全和基础设施安全局(CISA)微软正在积极调查和修复,强调这是一个关键漏洞。现在,微软已经为此事提供了更多信息。
PrintNightmare,在漏洞代号CVE-2021-34527现已被授予通用漏洞评分系统(CVSS)基本评级为8.8。值得注意的是,CVSS v3.0将其定义为 "高严重性"但它非常接近从9.0开始的"危急"评级。当前时间紧迫性得分是8.2,时间是根据一些因素来衡量当前漏洞的可用性。
值得注意的是,6月份出现了类似的漏洞 "补丁星期二"在更新更新中,但它的CVSS基础分是7.8。
基本分被定为8.8因为微软已经确定攻击载体处于网络层面,需要较低的攻击复杂性和权限,不涉及用户互动,可能导致组织资源的保密性、完整性和可用性 "完全丧失"。同时,时间分是8.2因为功能上的漏洞代码在互联网上很容易获得,适用于所有版本Windows,有关于它的详细报告,建议使用一些官方补救方法。
我们已经知道微软建议禁用Windows Print Spooler服务,或者至少通过集团策略禁止远程打印,然后建议检查一些物理成员和嵌套组成员,包括权限。该公司建议,在操作系统中,远程权限成员的数量应尽可能少,最好在可能的情况下为零。然而,该公司提醒说,从其中一些组中删除成员可能会导致兼容性问题。
这些受影响的群体如下:
- 管理员
- 域控制器
- 只读域控制器
- 企业只读域控制器
- 证书管理员
- 模式管理员
- 企业管理员
- 组织战略管理员
- 超级用户
- 系统操作人员
- 打印操作人员
- 备份操作人员
- RAS服务器
- 兼容Windows 2000的访问
- 网络配置操作程序组对象
- 加密操作人员组象
- 本地账户和Administrators组的成员
微软强调将尽快提供修复方案,但同时建议企业使用Microsoft Defender 365等工具监测潜在的恶意活动。"Print and Point"这与这个漏洞没有直接关系,但微软仍然建议编辑一些注册表,以加强组织的本地安全基础设施,并表示应清楚地列出客户端使用的打印服务器。