[[409045]]

微軟已就 Windows PrintNightmare 漏洞發(fā)出緊急警告，因其允許黑客在受害者 PC 上遠(yuǎn)程執(zhí)行代碼。由 CVE-2021-34527 安全公告可知，該漏洞利用了打印所需的 Windows Print Spooler 服務(wù)中的一個(gè)缺陷。目前微軟正在對(duì)“不斷發(fā)展的狀況”進(jìn)行評(píng)估，且 Sangfor 安全研究人員已經(jīng)發(fā)布了概念利用證明。

微軟表示其已意識(shí)到 WindowsPrintNightmare 在野外被積極利用的可能，而 @EdwardZpeng 也在假設(shè)官方已推出補(bǔ)丁的前提下發(fā)布了概念驗(yàn)證(Proof of Concept)。

尷尬的是，盡管微軟修補(bǔ)了一個(gè)同樣依賴于打印服務(wù)的不同漏洞，但這種相似性也導(dǎo)致了安全研究人員的困惑。即使安全團(tuán)隊(duì)很快就撤下了漏洞利用代碼，后續(xù)傳播也已無(wú)法及時(shí)斬?cái)唷?/p>

微軟解釋稱，在 Windows Print Spooler 服務(wù)不正確地執(zhí)行特權(quán)文件操作時(shí)，攻擊者或可成功利用該漏洞和 SYSTEM 權(quán)限來(lái)遠(yuǎn)程執(zhí)行任意代碼。

這意味著后續(xù)攻擊者能夠安裝程序，查看、篡改或刪除數(shù)據(jù)，或創(chuàng)建具有完全用戶權(quán)限的新賬戶。遺憾的是，目前尚無(wú)可用的補(bǔ)丁可為大部分 Windows 用戶提供防護(hù)。

相反，微軟給出的建議是確保系統(tǒng)已部署 2021 年 6 月 8 日發(fā)布的安全更新，并且遵循臨時(shí)的緩解方案。這包括徹底禁用 Print Spooler 服務(wù)、或通過(guò)更改系統(tǒng)的組策略來(lái)禁用入站遠(yuǎn)程打印。

顯然，上述兩套緩解措施都不是長(zhǎng)久之計(jì)。畢竟前者會(huì)讓你失去本地或遠(yuǎn)程打印的能力，而后者則無(wú)法讓本機(jī)再充當(dāng)打印服務(wù)器。