虽然微软每月补丁周二都会发布一系列安全更新,但仍然存在“漏网之鱼”。近日,国内安全公司深信服(Sangfor)发现了名叫 PrintNightmare 零日漏洞允许黑客完善补丁 Windows Print Spooler 在设备上获得完整的远程代码执行能力。这个漏洞导致了美国网络安全和基础设施安全局(CISA)微软正在积极开展调查。
CISA 将 PrintNightmare 漏洞描述为“关键漏洞”(Critical),因为它可以远程执行代码。CERT 在 协调中心VU#383432 跟踪并解释问题的发生是因为 WindowsPrint Spooler对 服务没有限制RpcAddPrinterDriverEx 函数访问意味着远程验证的攻击者可以使用它来运行任何代码。执行此任何代码SYSTEM的幌子下进行的。
作为参考,这个有问题的函数通常用于安装打印机驱动程序。然而,由于远程访问是不受限制的,这意味着有动机的攻击者可以将其指向远程服务器上的驱动程序,感染的机器SYSTEM执行任何代码的权限。
值得注意的是,6月份微软 "补丁星期二 "更新修复CVE-2021-1675相关问题,但最新进展不在修复范围内。该公司表示,它正在积极调查问题,并为域名管理员提出了两种解决方案。第一个是禁止 Windows Print Spooler 服务,但这意味着禁止本地和远程打印。二是通过组策略禁止远程打印。这将限制远程打印,但本地打印仍将正常工作。
微软正在以CVE-2021-34527跟踪漏洞。该公司明确表示,所有版本都存在有问题的代码。Windows中,但它仍在调查它是否也可以在所有版本中被利用。也就是说,由于该问题正在积极调查中,微软还没有给它一个漏洞评分,但也将其标记为 "关键"。