插图:Alex Castro / The Verge
微软警告Windows用户,Windows打印线轴服务中存在一个未修补的关键缺陷。该漏洞被称为PrintNightmare,本周早些时候在安全研究人员意外地发布了一个概念验证(PoC)漏洞后被揭露出来。虽然微软没有对该漏洞进行评级,但它允许攻击者以系统级权限远程执行代码。
Sangfor的研究人员发布了PoC,这似乎是一个错误,或者是研究人员和微软之间的沟通不畅。测试代码很快就被删除了,但在此之前,它已经在GitHub上被 fork 。
Sangfor研究人员一直计划在本月晚些时候的年度黑帽安全会议上详细介绍Windows打印线轴服务的多个0天漏洞。似乎研究人员认为微软已经修补了这个特定的漏洞,因为该公司发布了一个单独的Windows Print Spooler漏洞的补丁。
该漏洞正在被积极利用
微软花了几天时间终于发布了关于这个0-day的警报,Bleepingcomputer 报道说,该公司甚至警告客户,它正在被积极利用。该漏洞允许攻击者使用远程代码执行,因此不良分子有可能安装程序,修改数据,并创建具有完全管理权限的新账户。
微软承认"包含该漏洞的代码存在于所有版本的Windows中",但不清楚它是否可以在Windows的服务器版本之外被利用。打印线轴服务在Windows上默认运行,包括客户端版本的操作系统、域控制器和许多Windows服务器实例。
微软正在开发一个补丁,但在它可用之前,该公司建议禁用Windows打印线轴服务(如果这是一个企业的选择),或通过组策略禁用入站远程打印。网络安全和基础设施安全局(CISA)已经建议管理员 "在域控制器和不打印的系统中禁用Windows打印线轴服务"。
多年来,Windows打印线轴服务中的漏洞一直是系统管理员头痛的问题。最臭名昭著的例子是Stuxnet病毒。Stuxnet利用多个0日漏洞,包括一个Windows打印线轴漏洞,在十多年前摧毁了几个伊朗的核离心机。
