Windows管理打印進(jìn)程中又發(fā)現新漏洞
發(fā)布時(shí)間:2021-07-04 12:50
來(lái)源:嘶吼網(wǎng)
閱讀:0
作者:ang010ela
欄目: 網(wǎng)絡(luò )安全
研究人員公開(kāi)CVE-2021-1675漏洞遠程代碼執行PoC�。
10年前����,Windows Printer Spooler中的一個(gè)權限提升漏洞被用于Stuxnet(震網(wǎng)病毒)�����,摧毀了伊朗核設施�����,感染了超過(guò)45000個(gè)網(wǎng)絡(luò )���。過(guò)去10年里�,Printer spooler中也發(fā)現了許多漏洞���,其中有部分漏洞沒(méi)有公開(kāi)��。
CVE-2021-1675
Print Spooler是Windows中負責管理打印進(jìn)程的����,包括加載正確的打印機驅動(dòng)和安全打印任務(wù)等���。近日�����,Sangfor安全研究人員發(fā)現了Printer Spooler中的一個(gè)安全漏洞——CVE-2021-1675��。由于Print Spooler是以最高權限運行的���,且能夠動(dòng)態(tài)加載第三方二進(jìn)制文件�����,因此�,遠程攻擊者利用該漏洞可以完全接管系統���。
微軟已經(jīng)于6月8日的微軟補丁日發(fā)布了該漏洞的補丁�����。但兩周后���,微軟將該漏洞的影響從權限提升漏洞修改為遠程代碼執行�,并將安全評級從重要修改為關(guān)鍵�����。
微軟在安全公告中指出�,攻擊者可以通過(guò)本地或遠程訪(fǎng)問(wèn)目標系統來(lái)利用該漏洞���,攻擊者也可以利用其他用戶(hù)的交互來(lái)執行利用該漏洞需要執行的操作����,比如誘使合法用戶(hù)打開(kāi)惡意文檔��。
近日�,Sangfor安全公司在GitHub上發(fā)布了該漏洞的PoC����,并將該漏洞命名為PrintNightmare�����。隨后�����,Sangfor研究人員發(fā)推稱(chēng)已經(jīng)刪除了漏洞的PoC代碼����,要修復該漏洞�����,需要更新Windows系統到最新版本�,或者禁用Spooler服務(wù)���。相關(guān)研究成果將在7月舉辦的Black Hat USA大會(huì )上發(fā)布�����。
據CERT/CC最新消息��,微軟6月發(fā)布的補丁并沒(méi)完全修復Windows Print spooler服務(wù)的遠程代碼執行漏洞的根源�����。需要注意的是成功利用該漏洞將使得遠程攻擊者完全控制該系統���,因此亟需修復該漏洞��。
Windows Print Spooler中已經(jīng)發(fā)現了多個(gè)安全漏洞���,僅去年微軟就修復了3個(gè)漏洞���,分別是CVE-2020-1048�����、CVE-2020-1300和CVE-2020-1337��。
美國網(wǎng)絡(luò )安全和基礎設施安全機構CISA發(fā)布公告建議管理員禁用域名控制器中的Windows Print spooler服務(wù)����。
更多參見(jiàn)即將召開(kāi)的Black Hat USA 21:
https://www.blackhat.com/us-21/briefings/schedule/#diving-in-to-spooler-discovering-lpe-and-rce-vulnerabilities-in-windows-printer-23315
微軟最新響應
目前����,微軟已經(jīng)為該漏洞分配了新的CVE編號——CVE-2021-34527�����。CVE-2021-1675漏洞與CVE-2021-34527漏洞的攻擊向量是不同的���。目前已經(jīng)發(fā)現該漏洞影響域名控制器�,漏洞的其他影響仍在進(jìn)一步分析中�。此外���,目前漏洞也未給出該漏洞的CVSS評分�����。
本文翻譯自:https://thehackernews.com/2021/06/researchers-leak-poc-exploit-for.html
