微軟已就 Windows PrintNightmare 漏洞發出緊急警告,因其允許黑客在受害者 PC 上遠程執行代碼。由 CVE-2021-34527 安全公告可知,該漏洞利用了打印所需的 Windows Print Spooler 服務中的一個缺陷。目前微軟正在對“不斷發展的狀況”進行評估,且 Sangfor 安全研究人員已經發布了概念利用證明。
微軟表示其已意識到 Windows PrintNightmare 在野外被積極利用的可能,而 @EdwardZpeng 也在假設官方已推出補丁的前提下發布了概念驗證(Proof of Concept)。
尷尬的是,儘管微軟修補了一個同樣依賴於打印服務的不同漏洞,但這種相似性也導致了安全研究人員的困惑。即使安全團隊很快就撤下了漏洞利用代碼,後續傳播也已無法及時斬斷。
微軟解釋稱,在 Windows Print Spooler 服務不正確地執行特權文件操作時,攻擊者或可成功利用該漏洞和 SYSTEM 權限來遠程執行任意代碼。
這意味着後續攻擊者能夠安裝程序,查看、篡改或刪除數據,或創建具有完全用戶權限的新賬戶。遺憾的是,目前尚無可用的補丁可為大部分 Windows 用戶提供防護。
相反,微軟給出的建議是確保系統已部署 2021 年 6 月 8 日發布的安全更新,並且遵循臨時的緩解方案。這包括徹底禁用 Print Spooler 服務、或通過更改系統的組策略來禁用入站遠程打印。
顯然,上述兩套緩解措施都不是長久之計。畢竟前者會讓你失去本地或遠程打印的能力,而後者則無法讓本機再充當打印服務器。