近日,微软警告Windows用户,WindowsPrintSpooler服务存在一个严重的未修复漏洞。被称为“PrintNightmare”的意外PoC披露被认为已得到修复,该漏洞是在安全研究人员意外发布概念验证(PoC)漏洞后于本周早些时候发现的。虽然Microsoft尚未为该漏洞分配CVSS分数或严重性等级,但它可能允许攻击者使用系统级权限远程执行任意代码。早些时候,由于与Microsoft之间可能存在的通信问题,一家网络安全公司的研究人员发布了该漏洞的概念验证代码(PoC),错误地认为该漏洞已作为CVE-2021-1675的一部分被利用。打了补丁,只是不小心泄露了一个零日漏洞。虽然概念验证代码很快就从Github上拉了下来,但不幸的是,项目在此之前就被复制了。在漏洞被发现几天后,微软终于发布了关于零日漏洞的警报。该公司甚至警告用户PrintNightmare漏洞正在被广泛利用。由于该漏洞允许攻击者以系统权限运行任意代码,因此成功利用该漏洞的犯罪分子可以安装程序、操纵数据或创建具有完全用户权限的新帐户。微软还承认PrintNightmare会影响所有版本的Windows中的WindowsPrintSpooler,包括安装在个人计算机、企业网络、Windows服务器和域控制器上的那些,但尚不清楚它是否可以在Windows以外的服务器版本上被利用。微软建议禁用WindowsPrintSpooler服务目前,微软正在开发补丁,但有证据表明利用了PoC漏洞。企业和企业用户最容易受到攻击,但普通用户也可能面临风险。该公司建议在补丁可用之前禁用WindowsPrintSpooler服务。如果停止所有打印不切实际,网络管理员可以使用组策略来禁用入站远程打印,这样即使打印服务器任务被中断,本地打印服务也至少可以提供。但是普通用户需要使用Powershell命令将其关闭,这将保护您的PC免受任何PrintNightmare威胁:使用任务栏或Windows开始菜单搜索“Powershell”;右键单击Powershell并选择“以管理员身份运行”;在Powershell提示符下,运行以下命令以禁用WindowsPrintSpooler:Stop-Service-NameSpooler-Force然后运行以下命令以防止Windows在启动时重新启用PrintSpooler服务:Set-Service-NameSpooler-StartupTypeDisabled等到Microsoft发布补丁并完成安全更新后,您可以使用以下两个命令在Powershell中重新启用PrintSpool服务:Set-Service-NameSpooler-StartupTypeAutomaticStart-Service-NameSpooler否则,网络安全和基础设施安全局(CISA)建议管理员“在不需要打印服务的域控制器和系统上禁用WindowsPrintSpooler服务”。多年来,WindowsPrintSpooler服务中的漏洞一直是令系统管理员头疼的问题。最臭名昭著的例子是Stuxnet病毒。十多年前,Stuxnet利用多个零日漏洞(包括WindowsPrintSpooler漏洞)摧毁了几台伊朗核离心机。
