研究人员公开CVE-2021-1675执行漏洞远程代码PoC。
10年前,Windows Printer Spooler一个权限提升漏洞用于Stuxnet(震网病毒),摧毁了伊朗核设施,感染了超过45000个网络。过去10年里,Printer spooler还发现了许多漏洞,其中一些没有公开。
CVE-2021-1675
Print Spooler是Windows负责打印过程的管理,包括加载正确的打印机驱动和安全打印任务。Sangfor发现了安全研究人员Printer Spooler一个安全漏洞——CVE-2021-1675。由于Print Spooler它以最高权限运行,并能动态加载第三方二进制文件,因此,远程攻击者可以完全接管该漏洞。
微软已于6月8日在微软补丁日发布了该漏洞的补丁。但两周后,微软将漏洞的影响从权限提升到远程代码,并将安全评级从重要修改为关键。
微软在安全公告中指出,攻击者可以通过本地或远程访问目标系统使用该漏洞,攻击者也可以使用其他用户的交互,如诱使合法用户打开恶意文档。
近日,Sangfor安全公司在GitHub漏洞发布在上面PoC,并将漏洞命名为PrintNightmare。随后,Sangfor研究人员推测漏洞已被删除PoC要修复漏洞,需要更新代码Windows从系统到最新版本,或禁用Spooler服务。相关研究成果将于7月举行Black Hat USA会议发布。
据CERT/CC最新消息显示,微软6月份发布的补丁尚未完全修复Windows Print spooler远程代码执行服务漏洞的根源。需要注意的是,成功使用该漏洞将使远程攻击者完全控制该系统,因此迫切需要修复该漏洞。
Windows Print Spooler微软去年只修复了三个安全漏洞,分别是CVE-2020-1048、CVE-2020-1300和CVE-2020-1337。
网络安全和基础设施安全CISA建议管理员禁用域名控制器Windows Print spooler服务。
即将召开的参见更多Black Hat USA 21:
https://www.blackhat.com/us-21/briefings/schedule/#diving-in-to-spooler-discovering-lpe-and-rce-vulnerabilities-in-windows-printer-23315
最新的微软响应
目前,微软已经为漏洞分配了新的漏洞CVE编号——CVE-2021-34527。CVE-2021-1675漏洞与CVE-2021-34527漏洞的攻击向量不同。目前已发现该漏洞影响域名控制器,其他影响仍在进一步分析中。此外,目前还没有给出漏洞CVSS评分。
本文翻译自:https://thehackernews.com/2021/06/researchers-leak-poc-exploit-for.html