Windows管理打印进程中又发现新漏洞

研究人员公开CVE-2021-1675漏洞远程代码执行PoC。

10年前，Windows Printer Spooler中的一个权限提升漏洞被用于Stuxnet（震网病毒），摧毁了伊朗核设施，感染了超过45000个网络。过去10年里，Printer spooler中也发现了许多漏洞，其中有部分漏洞没有公开。

CVE-2021-1675

Print Spooler是Windows中负责管理打印进程的，包括加载正确的打印机驱动和安全打印任务等。近日，Sangfor安全研究人员发现了Printer Spooler中的一个安全漏洞——CVE-2021-1675。由于Print Spooler是以最高权限运行的，且能够动态加载第三方二进制文件，因此，远程攻击者利用该漏洞可以完全接管系统。

微软已经于6月8日的微软补丁日发布了该漏洞的补丁。但两周后，微软将该漏洞的影响从权限提升漏洞修改为远程代码执行，并将安全评级从重要修改为关键。

微软在安全公告中指出，攻击者可以通过本地或远程访问目标系统来利用该漏洞，攻击者也可以利用其他用户的交互来执行利用该漏洞需要执行的操作，比如诱使合法用户打开恶意文档。

近日，Sangfor安全公司在GitHub上发布了该漏洞的PoC，并将该漏洞命名为PrintNightmare。随后，Sangfor研究人员发推称已经删除了漏洞的PoC代码，要修复该漏洞，需要更新Windows系统到最新版本，或者禁用Spooler服务。相关研究成果将在7月举办的Black Hat USA大会上发布。

据CERT/CC最新消息，微软6月发布的补丁并没完全修复Windows Print spooler服务的远程代码执行漏洞的根源。需要注意的是成功利用该漏洞将使得远程攻击者完全控制该系统，因此亟需修复该漏洞。

Windows Print Spooler中已经发现了多个安全漏洞，仅去年微软就修复了3个漏洞，分别是CVE-2020-1048、CVE-2020-1300和CVE-2020-1337。

美国网络安全和基础设施安全机构CISA发布公告建议管理员禁用域名控制器中的Windows Print spooler服务。

更多参见即将召开的Black Hat USA 21：

https://www.blackhat.com/us-21/briefings/schedule/#diving-in-to-spooler-discovering-lpe-and-rce-vulnerabilities-in-windows-printer-23315

微软最新响应

目前，微软已经为该漏洞分配了新的CVE编号——CVE-2021-34527。CVE-2021-1675漏洞与CVE-2021-34527漏洞的攻击向量是不同的。目前已经发现该漏洞影响域名控制器，漏洞的其他影响仍在进一步分析中。此外，目前漏洞也未给出该漏洞的CVSS评分。