雖然每月的補丁星期二活動微軟都會發布一系列安全更新,但依然存在“漏網之魚”。日前,國內安全公司深信服(Sangfor)發現了名為 PrintNightmare 的零日漏洞,允許黑客在補丁完善的 Windows Print Spooler 設備上獲得完整的遠程代碼執行能力。該漏洞已引起美國網絡安全和基礎設施安全局(CISA)的關注,微軟正在積極開展調查。
CISA 將 PrintNightmare 漏洞描述為“關鍵漏洞”(Critical),因為它可以遠程執行代碼。CERT 協調中心在 VU#383432 下對其進行跟蹤,並解釋說,問題的發生是因為 Windows Print Spooler 服務沒有限制對 RpcAddPrinterDriverEx() 函數的訪問,這意味着經過遠程驗證的攻擊者可以利用它來運行任意代碼。這種任意代碼的執行是在SYSTEM的幌子下進行的。
作為參考,這個有問題的函數通常用於安裝打印機驅動程序。然而,由於遠程訪問是不受限制的,這意味着有動機的攻擊者可以使它指向遠程服務器上的驅動程序,使受感染的機器以SYSTEM權限執行任意代碼。
值得注意的是,微軟在6月的 “補丁星期二 “更新中修復了CVE-2021-1675的相關問題,但最新的進展並不在修復範圍內。該公司表示,它正在積極調查這個問題,並為域名管理員提出了兩個解決方法。第一個是禁用 Windows Print Spooler 服務,但這意味着本地和遠程的打印都將被禁用。第二種是通過組策略禁用入站遠程打印。這將限制遠程打印,但本地打印仍將正常工作。
微軟正在以CVE-2021-34527追蹤該漏洞。該公司明確表示,有問題的代碼存在於所有版本的Windows中,但它仍在調查它是否也可以在所有版本中被利用。也就是說,由於該問題正在積極調查中,微軟還沒有給它一個漏洞評分,但也將其標記為 “關鍵”。
相關文章:
零日漏洞PrintNightmare曝光:可在Windows後台執行遠程代碼