近日,一個名為PrintNightmare的漏洞造成的恐慌正在蔓延,微軟已確認該漏洞的存在。據悉,該漏洞允許攻擊者以域控制器上的系統許可權執行任意程式碼。利用該漏洞,攻擊者透過遠端程式碼執行完全控制PC,可以安裝惡意程式、隨意處理資料以及建立具有完全使用者許可權的新賬戶。
PrintNightmare漏洞的CVE編號為CVE-2021-1675和CVE-2021-34527。這是Windows列印假離線程式中的一個嚴重漏洞,在Microsoft為其釋出補丁之前,漏洞利用程式碼已在公共領域洩漏。微軟建議系統管理員在補丁可用之前禁用Print Spooler服務。
據微軟稱,該漏洞幾乎影響到所有的Windows裝置。美國網路安全和基礎設施安全域性(CISA)將其描述為關鍵漏洞進行關注。 這得從早前微軟修復了的一個本地提權漏洞說起,該漏洞編號為CVE-2021-1675,是列印後臺處理程式Windows Print Spooler的遠端程式碼執行漏洞,低許可權使用者利用這個漏洞可以以管理員身份在執行Windows Print Spooler服務的系統上執行程式碼。這個漏洞與PrintNightmare漏洞相似但不相同。
也許是由於兩者相似,某網路安全公司錯誤地認為PrintNightmare漏洞已經作為CVE-2021-1675的一部分完成了修復,結果意外披露了0day漏洞。儘管該公司很快就從Github撤下了概念驗證程式碼,但為時已晚,後續的傳播已無法切斷。 微軟於7月1日公佈了該漏洞,編號為CVE-2021-34527,並表示正在積極開展調查與修復工作。
針對本次漏洞,微軟官方目前尚未釋出相應的更新補丁,但為使用者提供了兩個暫時性的解決方案:
一是禁用Windows Print Spooler服務,但這會導致列印服務不可用。
二是透過組策略禁用入站遠端列印,但還支援本地列印服務。
這個漏洞廣泛存在於各Windows版本中,攻擊造成的後果嚴重,對駭客來說該漏洞的利用價值很高,因此在修復補丁出來前建議大家儘快採用其中一種臨時對策。
該漏洞是微軟近年來面臨的一個較為嚴重的問題,因為微軟甚至為Windows 7也釋出了補丁,而早在2020年1月14日微軟就已經終止了對Windows 7的技術支援。Windows 7雖然在當今所有Windows PC中所佔的份額較小,但總體數量仍然很大。
但是PrintNightmare漏洞所帶來的影響尚未完全結束,因為某些版本的Windows補丁尚未釋出。據瞭解,Windows 10版本1607、Windows Server 2016和Windows Server 2012的更新尚不可用。這些Windows版本的安全更新或將在近期釋出。
