研究人员发现Windows打印缓冲处理程序,有个一度被低估的远程程序代码漏洞,网络上已出现概念验证攻击程序。
编号为CVE-2021-1675的漏洞,是微软上个月Patch Tuesday中修补的50项漏洞之一。它位于Windows打印缓冲处理服务(Print Spooler)之中,当时微软仅将之视为一本地权限升级(Local Privilege Escalation,LPE)漏洞,但随后腾讯玄武实验室、NSFocus、以及RedDrip等安全研究人员发现,它也可被用来远程执行程序代码。微软也在上周更新CVE-2021-1675的说明,将之改为远程程序代码执行(RCE)漏洞,CVSS 3.0风险层级7.8。
成功开采可让攻击者执行任意程序并接管Windows计算机,不过前提是攻击者必须具备Windows Spooler服务的执行权限。研究人员也称之为PrintNightMare漏洞。
这并非罕见漏洞。10年前Windows Print Spooler的一项权限升级漏洞,就曾遭到恶名昭彰的蠕虫程序Stuxnet开采,而迄今仍不时被发现存在漏洞。
虽然微软及研究人员并未公布CVE-2021-1675的细节,不过代号Cube0x0的研究人员本周,却在GitHub发布该漏洞的PoC。由于GitHub可公开使用,有用户发现原初的PoC已被删除,但又被别人分叉出去。
微软已在6月的Patch Tuesday修补CVE-2021-1675,但ThreatPost报道Cube0x0的PoC,可在已修补好的Windows环境下开采这项漏洞,也就是意味微软可能修补不全。
报引导述趋势科技Zero Day Initiative安全研究人员Dustin Childs指出,从6月份微软修补的漏洞序号在31000以上,唯独PrintNightMare序号为1675,显示微软可能很早就知道这项漏洞,但是修补不易。
不论结果如何,研究人员建议企业应视为尚未修补,但已出现PoC的漏洞,应采取措施,像是关闭Print Spooler服务,并且封锁网络设备的TCP port 135及445。