每月的“補丁星期二”,微軟都會例行發(fā)布針對各種漏洞的補丁程序�����,但是本周二微軟發(fā)布的一大堆補丁中�����,其中一些修復(fù)了一個“震網(wǎng)”級別的資深漏洞——一個易于利用的Windows打印機后臺程序——Windows Print Spooler的漏洞(CVE-2020-1048)����,安全公司SafeBreach的研究人員發(fā)現(xiàn)了這個“新”漏洞�,該漏洞已于昨天微軟發(fā)布補丁后被披露�����。
該漏洞并不屬于“潛伏”在Windows內(nèi)部的超級復(fù)雜的遠程代碼執(zhí)行錯誤�,而是一種“謙遜”的提權(quán)漏洞,過去沒有引起研究人員的過多關(guān)注����。根據(jù)已經(jīng)披露的信息,該漏洞會影響Windows的許多最新版本��,包括Windows Server 2008��、2012�����、2016和2019以及Windows 7�、8.1和10。
據(jù)微軟安全顧問的介紹:
當Windows Print Spooler服務(wù)配置錯誤允許對文件系統(tǒng)的任意寫入時��,存在特權(quán)提升漏洞。成功利用此漏洞的攻擊者可以以提升的系統(tǒng)特權(quán)運行任意代碼��。然后�����,攻擊者可能會安裝程序�����,查看���、更改或刪除數(shù)據(jù);或創(chuàng)建具有完全用戶權(quán)限的新賬戶��。
Windows打印后臺處理程序是操作系統(tǒng)中管理打印過程的服務(wù)��。該服務(wù)已經(jīng)在Windows中存在了很長時間�����,并且多年來沒有太大變化��。該程序處理查找和加載打印驅(qū)動程序�����,創(chuàng)建打印作業(yè),然后最終執(zhí)行打印的后端功能����。通常,這種服務(wù)類型不會引起研究人員或攻擊者的廣泛關(guān)注���,但是大約十年前���,至少有一個團隊花費了大量時間對其進行深入研究——Stuxnet(震網(wǎng))團隊。
Stuxnet震網(wǎng)蠕蟲在2010年襲擊了伊朗的幾處核設(shè)施����,后來又利用與本周披露的Windows print spooler服務(wù)漏洞類似的漏洞傳播到了全球許多網(wǎng)絡(luò)的Windows電腦中。該漏洞也是Stuxnet首次曝光的四個零日漏洞之一�����。
Stuxnet是一個史無前例的惡意軟件��,其中包含針對SCADA����、工業(yè)控制系統(tǒng)以及Windows的漏洞利用攻擊。甚至10年后的今天,Stuxnet仍被認為是有史以來最復(fù)雜的惡意軟件之一����。
Stuxnet利用的打印后臺處理程序漏洞(CVE-2010-2729)的描述與Microsoft本周修復(fù)的漏洞極為相似,但有一個明顯的區(qū)別�����,Stuxnet利用的漏洞可實現(xiàn)Windows XP計算機上的遠程代碼執(zhí)行��。
據(jù)發(fā)現(xiàn)漏洞的SafeBreach的研究人員介紹��,這個新漏洞也引起了其他研究人員的注意��,他們發(fā)現(xiàn)該漏洞不僅與Stuxnet錯誤有關(guān)�����,而且易于利用���。根據(jù)Windows咨詢和培訓公司W(wǎng)insider的Yarden Shafir和Alex Ionescu所做的詳細分析,只需一行PowerShell即可利用此漏洞并在易受攻擊的系統(tǒng)上安裝持久后門�����。
Shafir和Ionescu說:
具有諷刺意味的是,后臺打印程序仍然是最古老的Windows組件之一����,自Windows NT 4以來它基本上沒有任何變化,但仍受到很多關(guān)注��,甚至被著名的Stuxnet濫用��。
由于它的簡單性和年代久遠��,該打印服務(wù)可能是Windows歷史上最“受歡迎”的脆弱點之一��,至少能排名前五���,Stuxnet之后該服務(wù)得到了強化����,但顯然依然不堪一擊�����。
SafeBreach安全研究人員透露���,他們還發(fā)現(xiàn)并披露了其他一些尚未修復(fù)的錯誤���,“因此肯定還有一些巨龍藏在水下�����。”(來源:安全牛)
在線咨詢
在線咨詢
0371-63319761