信息來源:51CTO
微軟已將CVE-2021-34527分配給名為PrintNightmare的打印后臺程序遠(yuǎn)程代碼執(zhí)行漏洞,并確認(rèn)該漏洞潛伏在所有版本的Windows中。
megacorp表示仍在調(diào)查該漏洞是否在每個Windows版本中都可以利用���,但域控制器確實受到了影響。
微軟還證實,這個令人討厭的問題與之前的CVE-2021-1675不同��,后者是關(guān)于不同的攻擊向量和RpcAddPrinterDriverEx()�����。據(jù)微軟稱��,2021年6月的安全更新解決了這個問題�,并沒有引入新的問題。而Printnightmare是在更新之前就已經(jīng)存在了�。
微軟還證實PrintNightmare漏洞正在被廣泛利用。
微軟表示:PrintNightmare這個名字起得很好�����,因為該漏洞允許攻擊者以系統(tǒng)權(quán)限運行任意代碼�,成功利用該漏洞的不法分子(通過Windows打印機后臺處理程序服務(wù)中的一個缺陷)可以安裝程序、處理數(shù)據(jù)或創(chuàng)建具有完全用戶權(quán)限的新賬戶�。
早前,某網(wǎng)絡(luò)安全公司的信息安全研究小組發(fā)布了該漏洞的概念驗證代碼��,錯誤地認(rèn)為它已經(jīng)作為CVE-2021-1675的一部分進(jìn)行了修補�,結(jié)果意外披露了零日漏洞。盡管該公司匆忙從Github撤下概念驗證代碼���,但全球性的恐慌還是接踵而至�。
目前安全專家建議的緩解措施包括關(guān)閉域控制器上的Windows Print Spooler服務(wù),將域控制器與打印任務(wù)分離�,或從Windows 2000之前的舊組中抽取用戶。
Microsoft自己提供的解決方法首先是禁用Print Spooler服務(wù)�����,最后是通過組策略禁用入站遠(yuǎn)程打印���。前者是停止所有打印����,而后者是即使打印服務(wù)器任務(wù)中斷��,也至少可以提供本地打印服務(wù)�����。
雖然微軟正手忙腳亂地處理這個棘手的問題�����,但Printnightmare的潛在威脅和恐慌仍在蔓延��。微軟尚未對該漏洞進(jìn)行CVSS評分或嚴(yán)重程度分級����,只是宣稱:“我們?nèi)栽谡{(diào)查中?����!?
盡管如此�����,可以將域控制器上的系統(tǒng)權(quán)限授予攻擊者的漏洞確實是每一個安全人員的噩夢�。
