《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 關(guān)于Windows Print Spooler遠程代碼執(zhí)行0 day漏洞

關(guān)于Windows Print Spooler遠程代碼執(zhí)行0 day漏洞

2021-07-28
來源:工控安全漫談
關(guān)鍵詞: 0day漏洞

  上個月,,一名安全研究人員意外發(fā)現(xiàn)了一個名為PrintNightmare的0 day漏洞,利用此漏洞,,黑客可以在補丁完善的Windows Print Spooler設(shè)備上獲得完整的遠程代碼執(zhí)行能力,,此漏洞被微軟追蹤為CVE-2021-34527。

  在6月補丁星期二活動日中,,微軟發(fā)布的安全累積更新中修復(fù)了一個類似的Print Spooler漏洞,。但是對于已經(jīng)打過補丁的Windows Server 2019設(shè)備,PrintNightmare漏洞依然有效,,并允許攻擊者遠程執(zhí)行代碼,。

  由于修復(fù)不完整,安全研究人員一直在仔細檢查,,并發(fā)現(xiàn)了影響Windows打印后臺處理程序的更多漏洞,。

  攻擊中使用的遠程打印服務(wù)器

  安全研究員和Mimikatz的創(chuàng)建者Benjamin Delpy公開披露了一個新的0 day漏洞,該漏洞允許威脅參與者通過他們控制的遠程打印服務(wù)器輕松獲得Windows機器上的系統(tǒng)權(quán)限,。

  您知道什么比Legit Kiwi打印機更好嗎,?另一臺Legit Kiwi打印機……完全沒有先決條件,你甚至不需要簽署驅(qū)動程序/包pic.twitter.com/oInb5jm3tE—本杰明·德爾佩(@gentilkiwi),,2021年7月16日

  在與BleepingComputer的交流中,,Delpy表示,他的漏洞利用Windows指向和打印功能的“隊列特定文件”功能,,在客戶端連接到攻擊者控制下的打印服務(wù)器時自動下載并執(zhí)行惡意DLL,。

  “在打印機安裝時,供應(yīng)商提供的安裝應(yīng)用程序可以指定一組與特定的打印隊列相關(guān)聯(lián)的任何類型的文件,,”微軟關(guān)于“隊列特定文件”功能的文檔解釋說,。

  “文件被下載到連接到打印服務(wù)器的每個客戶端?!?/p>

  為了利用該漏洞,,研究人員創(chuàng)建了一個可通過Internet訪問的打印服務(wù)器,,其中包含兩臺使用隊列特定文件功能的共享打印機,。

  執(zhí)行惡意DLL時,它將以SYSTEM權(quán)限運行,,可用于在計算機上運行任何命令,。

  CERT/CC的漏洞分析師Will Dormann發(fā)布了針對此漏洞的公告,,提供了更多信息。

  “雖然Windows強制驅(qū)動程序包本身由受信任的來源簽名,但Windows打印機驅(qū)動程序可以指定與設(shè)備使用相關(guān)的隊列特定文件,。例如,,共享打印機可以為任意ICM文件指定CopyFiles指令?!?/p>

  “這些用數(shù)字簽名強制打印機驅(qū)動程序文件一起復(fù)制的文件不受任何簽名要求的約束,。也就是說,任何文件都可以通過Point and Print打印機驅(qū)動程序安裝復(fù)制到客戶端系統(tǒng),,在那里它可以由另一臺具有SYSTEM特權(quán)的打印機使用,。”

  “這允許在易受攻擊的系統(tǒng)上進行LPE,?!?/p>

  使此漏洞如此危險的原因在于,它會影響所有當前版本的Windows,,并允許威脅行為者獲得對網(wǎng)絡(luò)的有限訪問權(quán)限,,同時立即在易受攻擊的設(shè)備上獲得SYSTEM權(quán)限。

  使用此訪問權(quán)限,,威脅參與者可以通過網(wǎng)絡(luò)橫向傳播,,直到他們獲得對域控制器的訪問權(quán)限,。

  Delpy創(chuàng)建了一個可公開訪問的遠程打印服務(wù)器,,可用于測試上述漏洞,。

  緩解新的打印機漏洞

  好消息是Delpy和Dormann共享了兩種可用于緩解這種新的“Queue-specific文件”漏洞的方法。

  CERT咨詢中概述了這兩種方法,。

  選項1:在網(wǎng)絡(luò)邊界阻止出站SMB流量

  由于Delpy的公開漏洞利用遠程打印服務(wù)器,您可以阻止出站SMB流量以防止訪問遠程計算機,。

  但是,,Dormann表示MS-WPRN也可用于在不使用SMB的情況下安裝驅(qū)動程序,,并且威脅行為者仍然可以通過本地打印機服務(wù)器使用此技術(shù)。

  因此,,這種緩解措施不是阻止漏洞利用的故障安全方法。

  選項2:配置PackagePoint和PrintServerList

  防止此漏洞的更好方法是將包點和打印限制到批準的服務(wù)器,。此策略設(shè)置限制到已批準服務(wù)器的程序包點和打印連接,。此設(shè)置僅適用于“打包點”和“打印”連接,,并且獨立于控制非包點和打印連接的行為的“點”和“打印限制”策略,。

  如果啟用此設(shè)置,,則用戶只能將點和打印到網(wǎng)絡(luò)管理員批準的打印服務(wù)器。使用包點和打印時,,客戶端計算機將檢查從打印服務(wù)器下載的所有驅(qū)動程序的驅(qū)動程序簽名,。

  此策略設(shè)置控制客戶端Point和Print行為,包括Vista計算機Windows提示,。策略設(shè)置僅適用于非打印管理員客戶端,,并且僅適用于作為域成員的計算機,。

  使用此組策略將針對已知漏洞提供最佳保護,。

  BleepingComputer已就該問題與Microsoft聯(lián)系,但尚未收到回復(fù),。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]