为了成为第一个发布概念验证(PoC)的人,研究人员发布了一篇文章和一个演示漏洞,以展示一个被称为Print噩梦的漏洞。结果发现他们意外地向全世界发出了新的0天漏洞警报。

发生了什么事?

6月,微软修补了Windows后台打印程序中的一个漏洞,该漏洞被列为CVE-2021-1675. 起初,它被归类为特权提升(EoP)漏洞。这意味着对系统访问受限的人可以提高他们的权限级别,从而使他们对受影响的系统拥有更多的权限。这种类型的漏洞非常严重,尤其是在广泛使用的服务(如Windows打印后台处理程序)中发现这种漏洞时。修补程序发布几周后,微软将严重性提升到远程代码执行(RCE)漏洞。RCE漏洞允许恶意参与者在同一网络上的不同计算机上执行其代码。

根据通常,一般建议是从Microsoft安装修补程序,这样就完成了。又过了一周,一位研究人员宣布,他找到了一种利用该漏洞实现本地权限提升和远程代码执行的方法。当研究人员对补丁进行反向工程时,这种情况实际上经常发生。

只是在这种情况下,它产生了意想不到的后果。另一组研究人员也在打印假脱机程序服务中发现了一个RCE漏洞。他们称其为printnnightmare,并认为它与CVE-2021-1675相同。他们正在准备在黑帽安全会议上发表的演讲。但现在他们担心另一个团队也遇到了同样的漏洞,所以他们发表了自己的工作,认为微软已经发布了补丁。

但CVE-2021-1675的修补程序似乎无法抵御PrintMonthright漏洞。Print噩梦和CVE-2021-1675似乎实际上是打印后台处理程序中两个非常相似但不同的漏洞。

这样看来,Print噩梦团队似乎在无意中不负责任地披露了一个新的0天漏洞(如果供应商有足够的时间发布修补程序,则认为漏洞的泄露是有责任的。)

从那以后,一些安全研究人员认为CVE-2021-1675和PrintNightmare是一样的,而其他人则报告说CVE-2021-1675补丁可以工作一些系统。

无论它们是否相同,毫无疑问的是,有些实时Windows系统无法修补PrintDream。不幸的是,补丁不起作用的系统似乎是Windows域控制器,这是最糟糕的情况。

印刷恶梦

后台打印程序服务嵌入在Windows操作系统中,用于管理打印过程。默认情况下,它在大多数Windows计算机上运行,包括Active Directory服务器。

它处理查找和加载打印驱动程序、创建打印作业以及最终打印的初步功能。这项服务已经“永远”存在,它是一个富有成效的漏洞搜索场,多年来发现并修复了许多缺陷。记得震网? Stuxnet还利用了后台打印程序服务中的一个漏洞,作为蠕虫用来传播的一组漏洞的一部分。

PrintNightmare可由未授权用户试图远程加载恶意驱动程序触发。利用该漏洞,研究人员已经能够获得SYSTEM特权,并在一个完全打过补丁的系统上以最高特权实现远程代码执行。

要利用该漏洞,攻击者首先必须通过易受攻击的计算机访问网络。虽然这提供了一些保护措施,但值得注意的是,在一些地下市场,犯罪分子可以用几美元购买这种通道。

如果他们可以确保任何类型的访问,他们可以潜在地使用PrintNightmare将一个普通用户变成全能的域管理员。作为一个域管理员,他们可以几乎不受惩罚地行动,传播勒索软件,删除备份,甚至禁用安全软件。

缓解

考虑到大量的计算机可能容易受到PrintNightmare的攻击,并且已经发布了几种利用该漏洞的方法,似乎很快就会出现针对该漏洞的恶意用例。

在修补漏洞之前,您可以做一些事情。Microsoft可能会在下周二(7月12日)之前尝试修补该漏洞,但在此之前,您可以:

  • 在不需要的机器上禁用打印假脱机程序服务。请注意,停止服务而不禁用可能是不够的。
  • 对于确实需要打印假脱机程序服务运行的系统,请确保它们没有暴露到互联网上。

我意识到,在任何情况下,上述措施都不容易,甚至不可行。对于那些需要后台打印服务并且需要从LAN外部访问的机器,请非常小心地限制和监控访问事件和权限。此外,要不惜一切代价避免在任何域控制器上运行后台打印程序服务。

进一步措施最好知道利用作品C:\Windows\System32\spool\驱动下的子目录中删除一个DLL,因此系统管理员可以创建一个“拒绝修改”的规则对该目录及其子目录,这样即使系统帐户不能放置一个新的DLL。

这仍然是一个发展中的情况,如果有更多信息,我们将更新这篇文章。

2021年7月2日更新

微软承认了这个漏洞,并且已经被分配了CVE-2021-34527.在他们的描述中,微软还提供了一个额外的解决方案,除了禁用打印假脱机程序服务。

通过组策略禁用入站远程打印

您还可以通过以下组策略配置设置:

  • 计算机配置/管理模板/打印机
  • 禁用“允许后台打印程序接受客户端连接:”策略以阻止远程攻击。

变通办法的影响此策略将通过阻止入站远程打印操作来阻止远程攻击向量。该系统将不再作为打印服务器,但仍可以在直接连接的设备上进行本地打印。