研究人員公開CVE-2021-1675漏洞遠程代碼執(zhí)行PoC。

10年前，Windows Printer Spooler中的一個權(quán)限提升漏洞被用于Stuxnet(震網(wǎng)病毒)，摧毀了伊朗核設(shè)施，感染了超過45000個網(wǎng)絡。過去10年里，Printer spooler中也發(fā)現(xiàn)了許多漏洞，其中有部分漏洞沒有公開。

CVE-2021-1675

Print Spooler是Windows中負責管理打印進程的，包括加載正確的打印機驅(qū)動和安全打印任務等。近日，Sangfor安全研究人員發(fā)現(xiàn)了Printer Spooler中的一個安全漏洞——CVE-2021-1675。由于Print Spooler是以最高權(quán)限運行的，且能夠動態(tài)加載第三方二進制文件，因此，遠程攻擊者利用該漏洞可以完全接管系統(tǒng)。

微軟已經(jīng)于6月8日的微軟補丁日發(fā)布了該漏洞的補丁。但兩周后，微軟將該漏洞的影響從權(quán)限提升漏洞修改為遠程代碼執(zhí)行，并將安全評級從重要修改為關(guān)鍵。

微軟在安全公告中指出，攻擊者可以通過本地或遠程訪問目標系統(tǒng)來利用該漏洞，攻擊者也可以利用其他用戶的交互來執(zhí)行利用該漏洞需要執(zhí)行的操作，比如誘使合法用戶打開惡意文檔。

近日，Sangfor安全公司在GitHub上發(fā)布了該漏洞的PoC，并將該漏洞命名為PrintNightmare。隨后，Sangfor研究人員發(fā)推稱已經(jīng)刪除了漏洞的PoC代碼，要修復該漏洞，需要更新Windows系統(tǒng)到最新版本，或者禁用Spooler服務。相關(guān)研究成果將在7月舉辦的Black Hat USA大會上發(fā)布。

據(jù)CERT/CC最新消息，微軟6月發(fā)布的補丁并沒完全修復Windows Print spooler服務的遠程代碼執(zhí)行漏洞的根源。需要注意的是成功利用該漏洞將使得遠程攻擊者完全控制該系統(tǒng)，因此亟需修復該漏洞。

Windows Print Spooler中已經(jīng)發(fā)現(xiàn)了多個安全漏洞，僅去年微軟就修復了3個漏洞，分別是CVE-2020-1048、CVE-2020-1300和CVE-2020-1337。

美國網(wǎng)絡安全和基礎(chǔ)設(shè)施安全機構(gòu)CISA發(fā)布公告建議管理員禁用域名控制器中的Windows Print spooler服務。

更多參見即將召開的Black Hat USA 21：

https://www.blackhat.com/us-21/briefings/schedule/#diving-in-to-spooler-discovering-lpe-and-rce-vulnerabilities-in-windows-printer-23315

微軟最新響應

目前，微軟已經(jīng)為該漏洞分配了新的CVE編號——CVE-2021-34527。CVE-2021-1675漏洞與CVE-2021-34527漏洞的攻擊向量是不同的。目前已經(jīng)發(fā)現(xiàn)該漏洞影響域名控制器，漏洞的其他影響仍在進一步分析中。此外，目前漏洞也未給出該漏洞的CVSS評分。

本文翻譯自：https://thehackernews.com/2021/06/researchers-leak-poc-exploit-for.html