近日,某网络安全公司意外发布了一个针对关键Windows后台打印处理程序漏洞的概念验证漏洞,恶意用户可以利用该漏洞来破坏Active Directory域控制器。
事情起因有些复杂,6月8日的,微软发布了针对CVE-2021-1675的修复程序,该漏洞被标记为提权漏洞。普通用户可以利用此漏洞以管理员身份在运行打印后台处理程序服务的系统上执行代码。然后在6月21日,没有任何解释,微软将该分类升级为更严重的远程代码执行漏洞。
一组安全研究人员在看到该漏洞的严重性已升级后,决定发布针对打印假脱机服务中远程代码执行漏洞的概念验证漏洞,大概认为它现在已被修补。但是他们发布的漏洞利用代码针对的是一个与CVE-2021-1675类似但不完全相同的漏洞,结果这个漏洞被不法分子用来实施网络攻击。这个未修补的漏洞被称为PrintNightmare,可能需要微软单独更新才能完全解决它。
PrintNightmare可能会被恶意用户利用,通过在远程域控制器上运行的易受攻击的Windows Print Spooler服务在系统级别执行代码。与CVE-2021-1675一样,PrintNightmare可能不仅仅影响域控制器。虽然任何运行易受攻击的打印后台处理程序服务的Windows安装都可能存在风险,但域控制器是一个更有价值的攻击目标。
安全专家Matthew Hickey指出:“在我看来,这是今年Windows企业系统发生的最重大事件,人们需要优先禁用域控制器和关键任务服务器上的打印后台处理程序服务,以防止漏洞被利用。”
广州理工学院 信息与网络中心 办公地址:11栋信息楼208室