信息化觀察網(wǎng)

近日，某網(wǎng)絡(luò)安全公司意外發(fā)布了一個(gè)針對關(guān)鍵Windows后臺打印處理程序漏洞的概念驗(yàn)證漏洞，惡意用戶可以利用該漏洞來破壞Active Directory域控制器。

事情起因有些復(fù)雜，6月8日的，微軟發(fā)布了針對CVE-2021-1675的修復(fù)程序，該漏洞被標(biāo)記為提權(quán)漏洞。普通用戶可以利用此漏洞以管理員身份在運(yùn)行打印后臺處理程序服務(wù)的系統(tǒng)上執(zhí)行代碼。然后在6月21日，沒有任何解釋，微軟將該分類升級為更嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞。

一組安全研究人員在看到該漏洞的嚴(yán)重性已升級后，決定發(fā)布針對打印假脫機(jī)服務(wù)中遠(yuǎn)程代碼執(zhí)行漏洞的概念驗(yàn)證漏洞，大概認(rèn)為它現(xiàn)在已被修補(bǔ)。但是他們發(fā)布的漏洞利用代碼針對的是一個(gè)與CVE-2021-1675類似但不完全相同的漏洞，結(jié)果這個(gè)漏洞被不法分子用來實(shí)施網(wǎng)絡(luò)攻擊。這個(gè)未修補(bǔ)的漏洞被稱為PrintNightmare，可能需要微軟單獨(dú)更新才能完全解決它。

PrintNightmare可能會(huì)被惡意用戶利用，通過在遠(yuǎn)程域控制器上運(yùn)行的易受攻擊的Windows Print Spooler服務(wù)在系統(tǒng)級別執(zhí)行代碼。與CVE-2021-1675一樣，PrintNightmare可能不僅僅影響域控制器。雖然任何運(yùn)行易受攻擊的打印后臺處理程序服務(wù)的Windows安裝都可能存在風(fēng)險(xiǎn)，但域控制器是一個(gè)更有價(jià)值的攻擊目標(biāo)。

安全專家Matthew Hickey指出：“在我看來，這是今年Windows企業(yè)系統(tǒng)發(fā)生的最重大事件，人們需要優(yōu)先禁用域控制器和關(guān)鍵任務(wù)服務(wù)器上的打印后臺處理程序服務(wù)，以防止漏洞被利用。”