到了6月底,安全研究人员还在讨论 Windows 服务“打印后台处理程序”中存在的一个漏洞,他们将其命名为 PrintNightmare(打印噩梦)。于6月“补丁星期二”那天发布的补丁程序本应将漏洞修复,虽然漏洞确实得到了修复,但是问题涉及的漏洞有两个。这个补丁解决了漏洞 CVE-2021-1675 ,却对漏洞 CVE-2021-34527 无能为力。如果使用 Windows 系统的电脑或服务器没有打上补丁,不法分子就能利用漏洞取得设备的控制权,因为 Windows 打印后台处理程序在所有 Windows 系统上都是默认处于活动状态的。
被微软冠名 PrintNightmare (打印噩梦)称号的漏洞是 CVE-2021-34527,而非 CVE-2021-1675。不过很多人管这两个漏洞都叫 PrintNightmare。
我们的专家已经对这两个漏洞做了深入的剖析,并且保证卡巴斯基安全解决方案以及其中包含的漏洞利用预防技术(Exploit Prevention)和基于行为的保护(behavior-based protection),有能力粉碎利用这两个漏洞的企图。
█ 为什么 PrintNightmare 如此危险
PrintNightmare 被定义为高危,主要原因有两个。首先,在所有基于 Windows 的系统中,包括域控制器和具有系统管理员权限的计算机,都会在默认条件下开启 Windows 打印后台处理程序,使机器更容易受到攻击。
其次,研究人员团队之间的误解,以及可能存在的失误,导致发布在网上的 PrintNightmare 概念验证(Poc)被人利用。相关研究人员非常确定微软的6月补丁已经解决了这个问题,因此便向专家社区分享了自己的工作。然而,该漏洞依然具有危险性。PoC 很快就被删除了,但是在删除之前已经有许多组织下载了 Poc 内容,因此卡巴斯基专家推测,对 PrintNightmare 的利用将有所增加。
█ 漏洞及其利用
CVE-2021-1675 属于权限提升漏洞。它允许具有低访问权限的攻击者通过创建、运行恶意的 DLL 文件,利用安全漏洞获得更高的权限。但是,这种可能性只存在于攻击者已经可以直接访问易受攻击的计算机的时候。微软认为此漏洞的风险相对较低。
CVE-2021-34527 明显更加危险。尽管和前者相似,但它是一个远程代码执行 (RCE) 漏洞,这表示它允许 DLL 的远程植入行为。微软已经观察到了一些利用此漏洞的行为,而 Seurelist 提供了更详细的有关漏洞及其利用方法的技术说明。
由于不法分子可以通过 PrintNightmare 访问企业基础架构中的数据,因此也能通过该漏洞实施勒索软件攻击。
█ 如何保护您的基础架构免遭 PrintNightmare 影响
要防范 PrintNightmare 攻击,第一步是安装微软6月和7月发布的补丁程序。在之后的页面中,微软还提供了一些应变方法,以应对无法使用补丁的情况。其中一个补丁甚至无需禁用 Windows 打印后台处理程序。
尽管如此,我们强烈建议在不需要打印服务的计算机上禁用 Windows 打印后台处理程序。尤其是域控制器的服务器,这种设备几乎用不着打印功能。
此外,所有服务器和计算机都需要可靠的端点安全解决方案,以挫败任何利用已知和未知漏洞(包括 PrintNightmare)的企图。
,
