上个月,一位安全研究人员无意中发现了一个名为PrintNightmare的0day漏洞。黑客利用该漏洞可以获得完整的远程代码执行能力,该漏洞被微软追踪为CVE-2021-34527。微软在6月补丁周二活动期间发布的安全累积更新中修复了一个类似的PrintSpooler漏洞。但对于打过补丁的WindowsServer2019设备,PrintNightmare漏洞仍然有效,允许攻击者远程执行代码。由于修复不完整,安全研究人员一直在仔细检查并发现更多影响Windows后台打印程序的漏洞。攻击中使用的远程打印服务器安全研究人员和Mimikatz创建者BenjaminDelpy公开披露了一个新的零日漏洞,该漏洞允许威胁参与者通过他们控制的远程打印服务器轻松获得Windows机器上的系统权限。你知道什么比LegitKiwi打印机更好吗?另一台合法的Kiwi打印机......完全没有先决条件,你甚至不需要签署驱动程序/包pic.twitter.com/oInb5jm3tE–BenjaminDelpy(@gentilkiwi),2021年7月16日与BleepingComputer交换,Delpy他表示,当客户端连接到攻击者控制下的打印服务器时,他的漏洞利用了Windows的“指向并打印”功能的“特定队列文件”功能。自动下载并执行恶意DLL。“在安装打印机时,供应商提供的安装应用程序可以指定一组任何类型的文件与特定的打印队列相关联,”微软关于“队列特定文件”功能的文档解释道。“文件被下载到连接到打印服务器的每个客户端。”为了利用此漏洞,研究人员创建了一个可通过Internet访问的打印服务器,其中包含两台使用队列特定文件功能的共享打印机。当恶意DLL被执行时,它将以SYSTEM权限运行,可用于在计算机上运行任何命令。CERT/CC的漏洞分析师WillDormann发布了针对此漏洞的公告,提供了更多信息。“虽然Windows要求驱动程序包本身由可信来源签名,但Windows打印机驱动程序可以指定与设备使用相关的队列特定文件。例如,共享打印机可以为任意ICM文件指定CopyFiles指令。”“这些是强制将打印机驱动程序文件一起复制的数字签名文件,不受任何签名要求的约束。也就是说,任何文件都可以通过指向和打印打印机驱动程序安装复制到客户端系统,在那里它可以被复制另一台具有SYSTEM权限打印机的计算机。”“这允许在易受攻击的系统上使用LPE。”这个漏洞之所以如此危险,是因为它会影响所有当前版本的Windows,并允许威胁行为者获得对网络的有限访问权限,还可以立即在易受攻击的设备上获得SYSTEM权限。使用此访问权限,威胁参与者可以通过网络横向传播,直到他们获得对域控制器的访问权限。Delpy创建了一个可公开访问的远程打印服务器,可用于测试上述漏洞。新打印机漏洞的缓解好消息是,Delpy和Dormann分享了两种可用于缓解这一新的“特定于队列的文件”漏洞的方法。CERT咨询中概述了这两种方法。选项1:在网络边界阻止出站SMB流量由于Delpy中利用远程打印服务器的公开漏洞,您可以阻止出站SMB流量以防止访问远程计算机。然而,Dormann表示,MS-WPRN也可以用于在不使用SMB的情况下安装驱动程序,威胁参与者仍然可以将这种技术用于本地打印机服务器。因此,这种缓解措施并不是防止漏洞利用的万无一失的方法。选项2:配置PackagePoint和PrintServerList防止此漏洞的更好方法是限制包指向和打印到批准的服务器。此策略设置将程序包点和打印连接限制到批准的服务器。此设置仅适用于打包点和打印连接,并且独立于控制非打包点和打印连接行为的点和打印限制策略。如果启用此设置,用户只能指向并打印到网络管理员批准的打印服务器。使用包点和打印时,客户端计算机检查从打印服务器下载的所有驱动程序的驱动程序签名。此策略设置控制客户端指向和打印行为,包括Vista计算机上的Windows提示。策略设置仅适用于非打印管理员客户端,并且仅适用于作为域成员的计算机。使用此组策略将针对已知漏洞提供最佳保护。BleepingComputer已就此问题联系微软,但尚未收到回复。本文翻译自:https://www.bleepingcomputer.com/news/microsoft/new-windows-print-spooler-zero-day-exploitable-via-remote-print-servers/如有转载请注明原文地址.
