我怀疑,对于一个容易受到攻击的服务,是否还有比PrintNightmare更合适的昵称。现在雷德蒙德肯定有很多人都在做关于Windows打印假脱机服务的噩梦。

Print梦魇是一组漏洞的名称,这些漏洞允许Windows网络上的标准用户作为系统在受影响的计算机(包括域控制器)上执行任意代码,从而允许他们将权限提升到域管理员。用户只需向易受攻击的计算机提供恶意打印机驱动程序,即可触发该漏洞。这一问题因战争而变得更糟混乱关于“PrintNightmare”到底是一个已知的、修补过的问题,还是一个全新的问题。最后,事实证明两者都有。

发生了什么事?

6月,微软修补了Windows后台打印程序中的一个漏洞,该漏洞被列为CVE-2021-1675.起初,它被归类为特权提升(EoP)漏洞。这意味着对系统访问受限的人可以提高他们的特权级别,使他们对受影响的系统拥有更大的权力。这种类型的漏洞是严重的,特别是在Windows Print Spooler等广泛使用的服务中发现这种漏洞时。补丁发布几周后,微软提高了远程代码执行(RCE)漏洞的严重性级别。RCE漏洞允许恶意参与者在同一网络的不同机器上执行其代码。

为了成为第一个发布概念验证(PoC)的人,研究人员发表了一篇文章和一个演示利用来演示该漏洞。结果却发现他们意外地提醒了世界一个新的零日漏洞。此漏洞列出如下CVE-2021-34527被命名为PrintNightmare。

不幸的是,“打印噩梦”背后的研究人员预测,“打印假脱机”(Print Spooler)将成为进一步发现的沃土。“打印假脱机”在过去遇到过不少问题。

7月初,Microsoft发布了一组带外补丁程序,以修复此Windows后台打印程序RCE漏洞。不久,一些研究人员发现本地特权升级(LPE)仍然有效。这意味着威胁参与者和已经处于活动状态的恶意软件仍然可以利用该漏洞获得系统权限。在演示中,本杰明deply显示更新未能修复易受攻击的系统,这些系统使用了名为Point and Print的功能的某些设置,这使得网络用户更容易获得所需的打印机驱动程序。

7月13日,美国网络安全和基础设施安全局(CISA)发布了一份声明紧急指令21-04,“减轻Windows打印假脱机程序服务漏洞”,因为它意识到多个威胁参与者正在利用PrintNightmare。

同样在7月,CrowdStrike确定Magniber勒索软件试图使用已知的Print梦魇漏洞危害受害者。

噩梦的结束?

8月10日星期二补丁更新时,打印假脱机程序服务受到还有更多微软表示,这次补丁将解决所有公开记录的安全问题。

在一个不寻常的突破性变化中,更新的一部分要求在使用Windows点和打印功能之前需要管理员权限。

仅仅一天之后

8月11日,微软发布了关于cve - 2021 - 36958,这又是一个0天漏洞,允许本地攻击者获得计算机上的系统权限。同样,是安全研究员本杰明·德尔比论证漏洞,表明威胁参与者仍然可以通过连接到远程打印服务器获得SYSTEM特权。

缓解

微软提供的解决方案是停止并禁用后台打印服务,尽管此时您可能正在认真考虑恢复无纸化办公的想法。因此:

  • 在不需要的机器上禁用打印假脱机程序服务。请注意,停止服务而不禁用可能是不够的。
  • 对于确实需要Print Spooler服务运行的系统,请确保它们没有公开到Internet。

微软表示正在调查该漏洞,并正在进行(另一次)安全更新。

就像我说的昨天:待续。