又有新的Print Spooler漏洞，微软呼吁快关闭

好不容易才搞定Windows打印多工缓冲处理器（Print Spooler）两个漏洞，上周微软警告又有可让攻击者执行恶意程式的新漏洞，且还没有修补程式。微软紧急呼吁企业关闭Print Spooler服务。

最新发现的漏洞编号CVE-2021-34481，它是Windows Print Spooler服务中的本机权限升级（local Privilege Elevation）漏洞，是这项服务未正确验证而执行外部上传档案的结果。攻击者若成功开采，可将自有权限升级到系统（System）权限而在Windows网域控制器上执行任意程式码，可安装恶意程式、修改或删除资料，或是建立具有完整使用权限的新账号。

CVE-2021-34481目前已经公开，虽然尚未有开采行动，但也没有修补程式，因此微软仍呼吁企业关闭Print Spooler服务。关闭这项服务也意谓著使用者无法于本地网络环境或远端打印。关闭的方法是在Windows PowerShell中使用以下指令：

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

这项漏洞是Windows Print Spooler接连爆发CVE-2021-1675及CVE-2021-34527（PrintNightmare）后，最新发现的漏洞。

最新漏洞是由逆向工程师Jacob Baines发现，认为CVE-2021-34481并非PrintNightmare的变种，不过他原本计划在DEF Con安全大会上揭露，因此并未说明细节。而且微软似乎也未知会他即公告于世。

微软说明，这个漏洞并不是前二者的修补引发的漏洞，而是早就存在的漏洞。此外，CVE-2021-34481不像前面两个具有远端程式码执行（Remote Code Execution，RCE）的特性，只有本地权限升级（Local Elevation of Privilege，LPE）的属性。本漏洞CVSS 3.0风险层级为7.8。

但微软表示CVE-2021-34481的全貌目前还在研究中，包括影响的Windows 版本。至于何时会修补，微软并未说明，只说正常情况下，CVE-2021-34481漏洞的修补程式会在之后的Patch Tuesday释出。

CVE-2021-1675和CVE-2021-34527都是8.8分的高风险漏洞，尤其是后者，微软还因此在正常的Patch Tuesday外释出例外更新。该漏洞传出有多起开采活动或意图，促使美国网络安全暨基础架构安全管理署（CISA）于上周发出紧急指令，要求联邦-部门及相关单位限期安装微软于7月6日释出的Windows更新。