Windows PrintNightmare漏洞出现多起攻击,美CISA呼吁联邦政府全面安装更新

本月爆发存在于Windows的PrintNightmare漏洞,美国网络安全暨基础架构安全管理局(CISA)周二发出紧急指令,要求联邦政府机关应尽快安装安全更新。

在多方攻击者积极开采影响Windows打印多任务缓冲处理器(Print Spooler)的漏洞后(编号CVE-2021-34527),CISA发布紧急指令(Emergency Directive)21-04。

CVE-2021-34527让远程攻击者得以增加打印机及上传恶意驱动程序。一旦成功开采,攻击者即在Windows Active Directory域名控制器(Domain Controller)计算机上,得以系统(System)层级权限执行程序代码,使其黑入目标受害组织的网络基础架构。CISA已经验证过CVE-2021-34527多个概念验证程序(PoC),担心联邦政府未修补将造成网络全面被入侵。

根据漏洞现有开采活动、再被开采的可能性、Windows系统在联邦政府网络的普及度,和信息系统被黑的严重后果,CISA认为CVE-2021-34527对美国政府机构造成不可接受的风险,必须立即采取行动。

CISA要求联邦政府机关在美东时间7月14日午夜11:59之前,应关闭与停止所有AD域名控制器上的Print Spooler服务,并在7月20日午夜11: 59前安装微软周二发布的7月份Patch Tuesday安全更新。此外,所有Windows系统在7月20日午夜11:59前,应关闭主机上的Print Spooler服务,或应通过群组管理员(Group Policy)设置Point and Point政策,限制一般用户安装打印机驱动程序的权限。

针对托管在第三方环境,如云计算的Windows系统,CISA也要求政府机关应确保企业或托管单位解决漏洞问题。