微软已将CVE-2021-34527分配给名为PrintNightmare的打印后台处理程序远程代码执行漏洞,并确认该漏洞潜伏在所有版本的Windows中。Megacorp表示仍在调查该漏洞是否可在每个Windows版本中被利用,但域控制器确实受到了影响。微软还确认这个恼人的问题与之前的CVE-2021-1675不同,后者是关于不同的攻击向量和RpcAddPrinterDriverEx()。据微软称,2021年6月的安全更新解决了这个问题,并没有引入新的问题。并且Printnightmare在更新之前就存在了。微软还确认PrintNightmare漏洞正在被广泛利用。微软表示:“PrintNightmare是一个好名字,因为该漏洞允许攻击者以系统权限运行任意代码。成功利用此漏洞(通过WindowsPrinterSpooler服务中的缺陷)的犯罪分子可以安装程序、处理数据或创建一个具有完整用户权限的新帐户。在一家网络安全公司的信息安全研究小组发布该漏洞的概念验证代码后,该零日漏洞被意外披露,错误地认为该漏洞已作为CVE-2021-1675的一部分进行了修补。全球恐慌接踵而至,尽管该公司匆忙从Github上撤下了概念验证代码。安全专家建议的当前缓解措施包括关闭域控制器上的WindowsPrintSpooler服务,将域控制器与打印任务分离,或将用户从预-Windows2000legacygroups.Microsoft自己提供的解决方法是首先禁用PrintSpooler服务和最后通过组策略禁用入站远程打印。前者是停止所有打印,而后者是即使打印服务器任务中断,也至少提供本地打印服务。在微软忙于应对这一棘手问题的同时,Printnightmare的潜在威胁和恐慌仍在蔓延。微软尚未给出该漏洞的CVSS评分或严重性评级,只是说“我们仍在调查中”。尽管如此,可以将域控制器上的系统特权授予攻击者的漏洞确实是每个安全专业人员的噩梦。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
