研究人员泄漏 PoC 漏洞用于关键的 Windows RCE 漏洞

与影响 Windows Print Spooler 的远程代码执行漏洞相关的概念验证 (PoC) 漏洞在本月早些时候由微软修补,在被删除之前在网上短暂发布。

标识为CVE-2021-1675的安全问题可能会让远程攻击者完全控制易受攻击的系统。Print Spooler管理 Windows 中的打印过程,包括加载适当的打印机驱动程序和安排打印作业进行打印等。

Print Spooler 的缺陷令人担忧,不仅是因为其广泛的攻击面,还因为它以最高权限级别运行并且能够动态加载第三方二进制文件。

这家 Windows 制造商在2021 年 6 月 8日的星期二补丁更新中解决了该漏洞。但近两周后,微软将该漏洞的影响从特权提升修改为远程代码执行 (RCE),并将严重级别从重要到关键。

“攻击者通过本地(例如键盘、控制台)或远程(例如 SSH)访问目标系统来利用该漏洞;或者攻击者依赖他人的用户交互来执行利用该漏洞所需的操作(例如,诱骗合法用户打开恶意文档),”微软在其公告中说。

当中国安全公司奇安信本周早些时候透露,它能够找到“正确的方法”来利用该漏洞时,事情发生了转变,从而证明了实现 RCE 的成功利用。

尽管研究人员没有透露更多的技术细节,但总部位于香港的网络安全公司 Sangfor 向 GitHub 发布了对同一漏洞的独立深入研究,以及一个完全有效的 PoC 代码,该代码在离线之前仍然可以公开访问。几个小时后。

Sangfor 将该漏洞代号为“PrintNightmare”。

“我们删除了 PrintNightmare 的 PoC。为了缓解这个漏洞,请将 Windows 更新到最新版本,或者禁用 Spooler 服务,”深信服首席安全研究员彭志娘在推特上写道。预计调查结果将呈现在黑帽会议美国下个月。

Windows Print Spooler 长期以来一直是安全漏洞的来源,仅在过去一年中,Microsoft 就修复了至少三个问题——CVE-2020-1048、CVE-2020-1300和CVE-2020-1337。值得注意的是,2010 年,该服务中的一个缺陷也被滥用以获取远程访问并传播针对伊朗核设施的Stuxnet蠕虫。

更新——根据 CERT 协调中心的说法,现在有迹象表明,微软在 6 月份针对 Windows 打印后台处理程序服务中的关键远程代码执行漏洞发布的修复程序并没有完全修复该错误的根本原因,这增加了它的可能性需要补丁的零日漏洞。

“虽然微软已经发布了 CVE-2021-1675 的更新,但重要的是要意识到这个更新并没有解决也标识为 CVE-2021-1675 的公共漏洞,”CERT/CC 的 Will Dormann在发布的漏洞说明中说周三。

值得注意的是,成功利用 CVE-2021-1675 可能为远程对手完成系统接管打开大门。我们已经联系微软征求意见,我们会在收到回复后更新这个故事。

根据最新披露,美国网络安全和基础设施安全局 (CISA)建议管理员“在域控制器和不打印的系统中禁用 Windows 打印后台处理程序服务”。