虽然微软会在每月的补丁星期二活动期间发布一系列安全更新,但仍有“漏网之鱼”。日前,国内安全公司深信服发现了一个名为PrintNightmare的零日漏洞,允许黑客在打过补丁的WindowsPrintSpooler设备上获得完整的远程代码执行能力。该漏洞已引起美国网络安全与基础设施安全局(CISA)的关注,微软正在积极调查。CISA将PrintNightmare漏洞描述为“严重”漏洞,因为它可能允许远程代码执行。CERT协调中心在VU#383432下对其进行跟踪,并解释说出现此问题是因为WindowsPrintSpooler服务不限制对RpcAddPrinterDriverEx函数的访问,这意味着经过远程身份验证的攻击者可以利用它运行任意代码。这种任意代码执行是在SYSTEM的幌子下进行的。作为参考,相关功能通常用于安装打印机驱动程序。然而,由于远程访问不受限制,这意味着有动机的攻击者可以将其指向远程服务器上的驱动程序,从而导致受感染的机器以SYSTEM权限执行任意代码。值得注意的是,微软在6月的“补丁星期二”更新中修复了与CVE-2021-1675相关的问题,但最新进展并未包含在修复中。该公司表示正在积极调查该问题,并为域管理员提出了两种解决方法。首先是禁用WindowsPrintSpooler服务,但这意味着本地和远程打印都将被禁用。第二个是通过组策略禁用入站远程打印。这将限制远程打印,但本地打印仍然可以正常工作。Microsoft将该漏洞跟踪为CVE-2021-34527。该公司明确表示,问题代码存在于所有版本的Windows中,但仍在调查它是否也可以在所有版本中被利用。也就是说,由于该问题正在积极调查中,微软尚未给它一个漏洞评分,但也将其标记为“严重”。
