微软已就 Windows PrintNightmare 漏洞发出紧急警告,因其允许黑客在受害者 PC 上远程执行代码。CVE-2021-34527 安全公告显示,该漏洞使用打印所需的 Windows Print Spooler 服务缺陷。个缺陷。微软目前正在处理“不断发展”并 Sangfor 安全研究人员已发布概念使用证书。
微软表示已经意识到 WindowsPrintNightmare 在野外被积极利用的可能,而 @EdwardZpeng 官方推出补丁的前提下,也发布了概念验证(Proof of Concept)。
令人尴尬的是,尽管微软修复了不同的漏洞,也依赖于打印服务,但这种相似性也导致了安全研究人员的困惑。即使安全团队很快删除了使用代码的漏洞,后续沟通也无法及时切断。
微软解释说, Windows Print Spooler 当特权文件操作不正确时,攻击者可能会成功利用漏洞和 SYSTEM 权限远程执行任何代码。
这意味着后续攻击者可以安装程序、查看、篡改或删除数据,或创建具有完全用户权限的新账户。不幸的是,大多数没有可用的补丁都是 Windows 用户提供保护。
相反,微软的建议是确保系统已部署 2021年 6月 8日发布的安全更新,并遵循临时缓解方案。这包括完全禁止 Print Spooler 通过改变系统的组策略,禁止服务或远程打印。
显然,上述两种缓解措施都不是长期的解决方案。毕竟前者会让你失去本地或远程打印的能力,而后者不会让这台机器充当打印服务器。