微軟本周二修復了一個“震網”級別的資深漏洞
責編:gltian |2020-05-15 18:16:06每月的“補丁星期二”,微軟都會例行發布針對各種漏洞的補丁程序,但是本周二微軟發布的一大堆補丁中,其中一些修復了一個“震網”級別的資深漏洞——一個易于利用的Windows打印機后臺程序——Windows Print Spooler的漏洞(CVE-2020-1048),安全公司SafeBreach的研究人員發現了這個“新”漏洞,該漏洞已于昨天微軟發布補丁后被披露。
該漏洞并不屬于“潛伏”在Windows內部的超級復雜的遠程代碼執行錯誤,而是一種“謙遜”的提權漏洞,過去沒有引起研究人員的過多關注。根據已經披露的信息,該漏洞會影響Windows的許多最新版本,包括Windows Server 2008、2012、2016和2019以及Windows 7、8.1和10。
據微軟安全顧問的介紹:
當Windows Print Spooler服務配置錯誤允許對文件系統的任意寫入時,存在特權提升漏洞。成功利用此漏洞的攻擊者可以以提升的系統特權運行任意代碼。然后,攻擊者可能會安裝程序,查看、更改或刪除數據;或創建具有完全用戶權限的新賬戶。
Windows打印后臺處理程序是操作系統中管理打印過程的服務。該服務已經在Windows中存在了很長時間,并且多年來沒有太大變化。該程序處理查找和加載打印驅動程序,創建打印作業,然后最終執行打印的后端功能。通常,這種服務類型不會引起研究人員或攻擊者的廣泛關注,但是大約十年前,至少有一個團隊花費了大量時間對其進行深入研究——Stuxnet(震網)團隊。
Stuxnet震網蠕蟲在2010年襲擊了伊朗的幾處核設施,后來又利用與本周披露的Windows print spooler服務漏洞類似的漏洞傳播到了全球許多網絡的Windows電腦中。該漏洞也是Stuxnet首次曝光的四個零日漏洞之一。
Stuxnet是一個史無前例的惡意軟件,其中包含針對SCADA、工業控制系統以及Windows的漏洞利用攻擊。甚至10年后的今天,Stuxnet仍被認為是有史以來最復雜的惡意軟件之一。
Stuxnet利用的打印后臺處理程序漏洞(CVE-2010-2729)的描述與Microsoft本周修復的漏洞極為相似,但有一個明顯的區別,Stuxnet利用的漏洞可實現Windows XP計算機上的遠程代碼執行。
據發現漏洞的SafeBreach的研究人員介紹,這個新漏洞也引起了其他研究人員的注意,他們發現該漏洞不僅與Stuxnet錯誤有關,而且易于利用。根據Windows咨詢和培訓公司Winsider的Yarden Shafir和Alex Ionescu所做的詳細分析,只需一行PowerShell即可利用此漏洞并在易受攻擊的系統上安裝持久后門。
Shafir和Ionescu說:
具有諷刺意味的是,后臺打印程序仍然是最古老的Windows組件之一,自Windows NT 4以來它基本上沒有任何變化,但仍受到很多關注,甚至被著名的Stuxnet濫用。
由于它的簡單性和年代久遠,該打印服務可能是Windows歷史上最“受歡迎”的脆弱點之一,至少能排名前五,Stuxnet之后該服務得到了強化,但顯然依然不堪一擊。
SafeBreach安全研究人員透露,他們還發現并披露了其他一些尚未修復的錯誤,“因此肯定還有一些巨龍藏在水下。”