雖然每月的補(bǔ)丁星期二活動(dòng)微軟都會(huì)發(fā)布一系列安全更新，但依然存在“漏網(wǎng)之魚”。日前，國內(nèi)安全公司深信服(Sangfor)發(fā)現(xiàn)了名為 PrintNightmare 的零日漏洞，允許黑客在補(bǔ)丁完善的 Windows Print Spooler 設(shè)備上獲得完整的遠(yuǎn)程代碼執(zhí)行能力。該漏洞已引起美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的關(guān)注，微軟正在積極開展調(diào)查。

[[408942]]

CISA 將 PrintNightmare 漏洞描述為“關(guān)鍵漏洞”(Critical)，因?yàn)樗梢赃h(yuǎn)程執(zhí)行代碼。CERT 協(xié)調(diào)中心在 VU#383432 下對其進(jìn)行跟蹤，并解釋說，問題的發(fā)生是因?yàn)?WindowsPrint Spooler 服務(wù)沒有限制對 RpcAddPrinterDriverEx 函數(shù)的訪問，這意味著經(jīng)過遠(yuǎn)程驗(yàn)證的攻擊者可以利用它來運(yùn)行任意代碼。這種任意代碼的執(zhí)行是在SYSTEM的幌子下進(jìn)行的。

作為參考，這個(gè)有問題的函數(shù)通常用于安裝打印機(jī)驅(qū)動(dòng)程序。然而，由于遠(yuǎn)程訪問是不受限制的，這意味著有動(dòng)機(jī)的攻擊者可以使它指向遠(yuǎn)程服務(wù)器上的驅(qū)動(dòng)程序，使受感染的機(jī)器以SYSTEM權(quán)限執(zhí)行任意代碼。

值得注意的是，微軟在6月的 "補(bǔ)丁星期二 "更新中修復(fù)了CVE-2021-1675的相關(guān)問題，但最新的進(jìn)展并不在修復(fù)范圍內(nèi)。該公司表示，它正在積極調(diào)查這個(gè)問題，并為域名管理員提出了兩個(gè)解決方法。第一個(gè)是禁用 Windows Print Spooler 服務(wù)，但這意味著本地和遠(yuǎn)程的打印都將被禁用。第二種是通過組策略禁用入站遠(yuǎn)程打印。這將限制遠(yuǎn)程打印，但本地打印仍將正常工作。

微軟正在以CVE-2021-34527追蹤該漏洞。該公司明確表示，有問題的代碼存在于所有版本的Windows中，但它仍在調(diào)查它是否也可以在所有版本中被利用。也就是說，由于該問題正在積極調(diào)查中，微軟還沒有給它一個(gè)漏洞評分，但也將其標(biāo)記為 "關(guān)鍵"。