PrintNightmare 漏洞已引起 CISA 关注 微软表示正积极开展调查

虽然每月的补丁星期二活动微软都会发布一系列安全更新，但依然存在“漏网之鱼”。日前，国内安全公司深信服（Sangfor）发现了名为 PrintNightmare 的零日漏洞，允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力。该漏洞已引起美国网络安全和基础设施安全局（CISA）的关注，微软正在积极开展调查。

CISA 将 PrintNightmare 漏洞描述为“关键漏洞”（Critical），因为它可以远程执行代码。CERT 协调中心在 VU#383432 下对其进行跟踪，并解释说，问题的发生是因为 Windows Print Spooler 服务没有限制对 RpcAddPrinterDriverEx() 函数的访问，这意味着经过远程验证的攻击者可以利用它来运行任意代码。这种任意代码的执行是在SYSTEM的幌子下进行的。

作为参考，这个有问题的函数通常用于安装打印机驱动程序。然而，由于远程访问是不受限制的，这意味着有动机的攻击者可以使它指向远程服务器上的驱动程序，使受感染的机器以SYSTEM权限执行任意代码。

值得注意的是，微软在6月的 “补丁星期二 “更新中修复了CVE-2021-1675的相关问题，但最新的进展并不在修复范围内。该公司表示，它正在积极调查这个问题，并为域名管理员提出了两个解决方法。第一个是禁用 Windows Print Spooler 服务，但这意味着本地和远程的打印都将被禁用。第二种是通过组策略禁用入站远程打印。这将限制远程打印，但本地打印仍将正常工作。

微软正在以CVE-2021-34527追踪该漏洞。该公司明确表示，有问题的代码存在于所有版本的Windows中，但它仍在调查它是否也可以在所有版本中被利用。也就是说，由于该问题正在积极调查中，微软还没有给它一个漏洞评分，但也将其标记为 “关键”。

（消息及封面来源：cnBeta）