[[409163]]

幾天前，我們了解到一個(gè)名為 "PrintNightmare"的新漏洞幾乎影響到所有的Windows設(shè)備。它利用Windows Print Spooler服務(wù)的未受保護(hù)的功能來(lái)觸發(fā)遠(yuǎn)程代碼執(zhí)行(RCE)。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)強(qiáng)調(diào)它是一個(gè)關(guān)鍵漏洞，微軟正在積極調(diào)查修復(fù)。現(xiàn)在，微軟公司就此事提供了更多信息。

PrintNightmare，在漏洞代號(hào)CVE-2021-34527下被追蹤，現(xiàn)在已被授予通用漏洞評(píng)分系統(tǒng)(CVSS)基本評(píng)級(jí)為8.8。值得注意的是，CVSS v3.0規(guī)范文件將其定義為 "高嚴(yán)重性"漏洞，但它非常接近從9.0開(kāi)始的"危急"評(píng)級(jí)。目前的時(shí)間緊迫性得分是8.2，時(shí)間分是根據(jù)一些因素來(lái)衡量一個(gè)漏洞的當(dāng)前可利用性。

值得注意的是，一個(gè)類似的漏洞在6月的 "補(bǔ)丁星期二"更新中被修復(fù)，但它的CVSS基礎(chǔ)分是7.8。

基礎(chǔ)分被定為8.8分是因?yàn)槲④浺呀?jīng)確定該攻擊載體是在網(wǎng)絡(luò)層面，需要較低的攻擊復(fù)雜性和權(quán)限，不涉及用戶互動(dòng)，并可能導(dǎo)致組織資源的保密性、完整性和可用性 "完全喪失"。同時(shí)，時(shí)間分是8.2分是因?yàn)楣δ苌系穆┒创a在互聯(lián)網(wǎng)上很容易獲得，并且適用于所有版本的Windows，存在關(guān)于它的詳細(xì)報(bào)告，并且有一些官方的補(bǔ)救方法被建議。

我們已經(jīng)知道，微軟建議禁用Windows Print Spooler服務(wù)，或至少通過(guò)組策略禁用入站遠(yuǎn)程打印，隨后還建議檢查一些實(shí)體成員和包含權(quán)限的嵌套組成員。該公司建議，操作系統(tǒng)中遠(yuǎn)程權(quán)限成員的數(shù)量應(yīng)盡可能地少，最好是在可能的情況下為零。盡管如此，該公司提醒說(shuō)，從其中一些組中刪除成員可能導(dǎo)致兼容性問(wèn)題。

這些受影響的群組如下：

• 管理員
• 域控制器
• 只讀域控制器
• 企業(yè)只讀域控制器
• 證書(shū)管理員
• 模式管理員
• 企業(yè)管理員
• 組策略管理員
• 超級(jí)用戶
• 系統(tǒng)操作人員
• 打印操作人員
• 備份操作人員
• RAS服務(wù)器
• 兼容Windows 2000的訪問(wèn)
• 網(wǎng)絡(luò)配置操作程序組對(duì)象
• 加密操作者組對(duì)象
• 本地賬戶和Administrators組的成員

微軟強(qiáng)調(diào)將盡快提供修復(fù)方案，但與此同時(shí)，它建議企業(yè)利用Microsoft Defender 365等工具來(lái)監(jiān)測(cè)潛在的惡意活動(dòng)。雖然 "Print and Point"與這個(gè)漏洞沒(méi)有直接關(guān)系，但微軟仍然建議編輯一些注冊(cè)表值以加強(qiáng)組織的本地安全基礎(chǔ)設(shè)施，并表示客戶端使用的打印服務(wù)器應(yīng)明確列出。