微軟本周二修復了一個“震網”級別的資深漏洞
2020年05月15日
每月的“補丁星期二”�����,微軟都會例行發(fā)布針對各種漏洞的補丁程序�����,但是本周二微軟發(fā)布的一大堆補丁中�����,其中一些修復了一個“震網”級別的資深漏洞——一個易于利用的Windows打印機后臺程序——Windows Print Spooler的漏洞(CVE-2020-1048),安全公司SafeBreach的研究人員發(fā)現了這個“新”漏洞�,該漏洞已于昨天微軟發(fā)布補丁后被披露。
該漏洞并不屬于“潛伏”在Windows內部的超級復雜的遠程代碼執(zhí)行錯誤��,而是一種“謙遜”的提權漏洞����,過去沒有引起研究人員的過多關注。根據已經披露的信息���,該漏洞會影響Windows的許多最新版本����,包括Windows Server 2008��、2012�����、2016和2019以及Windows 7�����、8.1和10。
當Windows Print Spooler服務配置錯誤允許對文件系統(tǒng)的任意寫入時�����,存在特權提升漏洞�。成功利用此漏洞的攻擊者可以以提升的系統(tǒng)特權運行任意代碼。然后�����,攻擊者可能會安裝程序��,查看�����、更改或刪除數據��;或創(chuàng)建具有完全用戶權限的新賬戶�。
Windows打印后臺處理程序是操作系統(tǒng)中管理打印過程的服務��。該服務已經在Windows中存在了很長時間����,并且多年來沒有太大變化���。該程序處理查找和加載打印驅動程序,創(chuàng)建打印作業(yè)�,然后最終執(zhí)行打印的后端功能。通常�����,這種服務類型不會引起研究人員或攻擊者的廣泛關注�����,但是大約十年前����,至少有一個團隊花費了大量時間對其進行深入研究——Stuxnet(震網)團隊。
Stuxnet震網蠕蟲在2010年襲擊了伊朗的幾處核設施�,后來又利用與本周披露的Windows print spooler服務漏洞類似的漏洞傳播到了全球許多網絡的Windows電腦中。該漏洞也是Stuxnet首次曝光的四個零日漏洞之一�。
Stuxnet是一個史無前例的惡意軟件,其中包含針對SCADA�����、工業(yè)控制系統(tǒng)以及Windows的漏洞利用攻擊����。甚至10年后的今天��,Stuxnet仍被認為是有史以來最復雜的惡意軟件之一��。
Stuxnet利用的打印后臺處理程序漏洞(CVE-2010-2729)的描述與Microsoft本周修復的漏洞極為相似���,但有一個明顯的區(qū)別,Stuxnet利用的漏洞可實現Windows XP計算機上的遠程代碼執(zhí)行����。
據發(fā)現漏洞的SafeBreach的研究人員介紹���,這個新漏洞也引起了其他研究人員的注意����,他們發(fā)現該漏洞不僅與Stuxnet錯誤有關����,而且易于利用。根據Windows咨詢和培訓公司Winsider的Yarden Shafir和Alex Ionescu所做的詳細分析���,只需一行PowerShell即可利用此漏洞并在易受攻擊的系統(tǒng)上安裝持久后門���。
具有諷刺意味的是����,后臺打印程序仍然是最古老的Windows組件之一���,自Windows NT 4以來它基本上沒有任何變化�����,但仍受到很多關注����,甚至被著名的Stuxnet濫用���。
由于它的簡單性和年代久遠��,該打印服務可能是Windows歷史上最“受歡迎”的脆弱點之一��,至少能排名前五����,Stuxnet之后該服務得到了強化���,但顯然依然不堪一擊���。
SafeBreach安全研究人員透露���,他們還發(fā)現并披露了其他一些尚未修復的錯誤,“因此肯定還有一些巨龍藏在水下���?�!?br style="margin: 0px; padding: 0px; max-width: 100%; box-sizing: border-box; word-wrap: break-word !important;"/>
江蘇國駿為您提供全面可信的信息安全服務
http://xufei-js.cn/
免費咨詢熱線:400-6776-989
長按二維碼關注我們
