据外媒报道,安全研究人员最近发现了一个新的0-day漏洞和概念验证代码,证明Windows10PrintSpool中的一个漏洞可用于远程代码执行攻击。微软现已发布带外修复程序,网络安全和基础设施安全机构CISA已命令政府机构加快补丁速度。CISA将PrintNightmare漏洞描述为严重漏洞,因为它可能允许远程代码执行。CERT协调中心表示,该问题的发生是因为WindowsPrintSpooler服务不限制对RpcAddPrinterDriverEx()函数的访问,这意味着经过远程身份验证的攻击者可以利用它运行任意代码。这种任意代码执行是在SYSTEM的幌子下进行的。根据概念验证代码,黑客只需要一些(甚至是低权限的)网络凭据就可以利用该漏洞进行远程执行,而这些凭据可以在暗网上以低至3美元的价格购买。这意味着企业网络再次极易受到攻击,尤其是对勒索软件而言。
