微软已将CVE-2021-34527分配给名为PrintNightmare打印后台程序远程代码执行漏洞,并确认漏洞潜伏在所有版本中Windows中。
megacorp表示仍在调查每个漏洞是否仍在调查中Windows可用于版本,但域控制器确实受到影响。
微软还证实,这个烦人的问题与以前相比CVE-2021-1675后者是关于不同的攻击向量和RpcAddPrinterDriverEx()。据微软称,2021年6月的安全更新解决了这个问题,并没有引入新的问题。Printnightmare它已经存在于更新之前。
微软还证实PrintNightmare漏洞被广泛使用。
微软表示:PrintNightmare这个名字起得很好,因为这个漏洞允许攻击者以系统权限运行任何代码,并成功地使用这个漏洞的罪犯(通过Windows可以安装程序、处理数据或创建具有完全用户权限的新账户。
早些时候,一家网络安全公司的信息安全研究小组发布了漏洞的概念验证代码,错误地认为它已经被用作了CVE-2021-1675的一部分进行了修补,结果意外披露了零日漏洞。尽管该公司匆忙从Github撤回概念验证代码,但全球恐慌接踵而至。
安全专家建议的缓解措施包括关闭域控制器Windows Print Spooler服务将域控制器与打印任务分离,或从Windows 2000年前从旧组中提取用户。
Microsoft自己提供的解决方案首先是禁用Print Spooler服务,最后通过组策略禁止远程打印。前者停止所有打印,后者至少可以提供本地打印服务,即使打印服务器任务中断。
虽然微软正忙着处理这个棘手的问题,但是Printnightmare潜在的威胁和恐慌仍在蔓延。微软尚未解决这个漏洞CVSS仅声称评分或严重程度分级:“我们仍在调查中。”
尽管如此,在域控制器上授予攻击者系统权限的漏洞确实是每个安全人员的噩梦。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章