윈도우의 프린트 스풀러 서비스에 PrintNightmare라는 취약점이 존재합니다. 식별자는 CVE-2021-34527입니다.
프린트 스풀러 서비스가 잘못된 파일 조작을 해서 원격 코드를 실행하는 취약점입니다. 이 공격이 성공하면 시스템 권한으로 아무 코드나 실행하거나 데이터를 보거나 삭제할 수 있는 등, 모든 권한을 가진 사용자를 만들 수 있습니다.
프린트나이트메어는 프린트 스풀러의 RpcAddPrinterDriverEx () 함수를 악용한 취약점인데, 전에도 이 함수를 써서 CVE-2021-1675라는 취약점이 나온 적이 있습니다. 그건 2021년 6월 패치로 해결됐지만 이번 취약점은 기능은 같아도 공격 방식이 다릅니다.
마이크로소프트는 일단 프린트 스풀러 서비스를 끄거나(이 경우 프린터 못 씀), 그룹 정책에서 프린트 스풀러가 클라이언트 접속 허용을 못 하도록 차단(이 경우 프린트 서버는 못 쓰나 로컬 연결은 가능)하길 권장합니다. 제대로 된 패치는 나중에 나오겠지요.