研究人员公开了CVE-2021-1675漏洞远程代码执行PoC。十年前,WindowsPrinterSpooler中的一个提权漏洞被用于Stuxnet(Stuxnet病毒),摧毁了伊朗核设施并感染了超过45,000个网络。在过去的10年中,Printerspooler中也发现了许多漏洞,其中一些漏洞尚未公开。CVE-2021-1675PrintSpooler负责管理Windows中的打印过程,包括加载正确的打印机驱动程序和安全打印任务。近日,深信服安全研究人员在PrinterSpooler中发现了一个安全漏洞——CVE-2021-1675。由于PrintSpooler以最高权限运行,可以动态加载第三方二进制文件,远程攻击者可以利用该漏洞完全接管系统。微软已经在6月8日的微软补丁日发布了针对该漏洞的补丁,但两周后,微软将该漏洞的影响从提权漏洞修改为远程代码执行,并将安全等级从重要改为严重。微软在安全公告中指出,攻击者可以通过本地或远程访问目标系统来利用该漏洞,或者攻击者可以利用其他用户的交互来执行利用该漏洞所需的动作,例如诱使合法用户打开恶意文件。近日,深信服安全公司在GitHub上发布了该漏洞的PoC,并将该漏洞命名为PrintNightmare。随后,深信服研究人员发推称,该漏洞的PoC代码已被删除。修复该漏洞需要将Windows系统更新至最新版本,或禁用Spooler服务。相关研究成果将在7月份的BlackHatUSA会议上发布。据CERT/CC最新消息,微软在6月发布的补丁并未彻底修复WindowsPrintspooler服务远程代码执行漏洞的根本原因。需要注意的是,成功利用该漏洞将允许远程攻击者完全控制系统,因此修复该漏洞刻不容缓。在WindowsPrintSpooler中发现了多个安全漏洞。仅去年一年,微软就修复了三个漏洞,分别是CVE-2020-1048、CVE-2020-1300和CVE-2020-1337。美国网络安全和基础设施安全机构CISA发布公告,建议管理员禁用域控制器中的WindowsPrintspooler服务。在即将举行的BlackHatUSA21上查看更多信息:https://www.blackhat.com/us-21/briefings/schedule/#diving-in-to-spooler-discovering-lpe-and-rce-vulnerabilities-in-Windows-printer-23315微软最新回应目前,微软已经为该漏洞分配了一个新的CVE编号——CVE-2021-34527。CVE-2021-1675漏洞和CVE-2021-34527漏洞的攻击向量不同。目前已发现该漏洞影响域名控制器,该漏洞的其他影响还在进一步分析中。另外,目前的漏洞并没有给出该漏洞的CVSS评分。本文翻译自:https://thehackernews.com/2021/06/researchers-leak-poc-exploit-for.html
