微軟上個月Patch Tuesday中修補的CVE-2021-1675,位於Windows列印緩衝處理服務(Print Spooler),當時微軟僅將之視為一本地權限升級(LPE)漏洞,但隨後騰訊玄武實驗室、NSFocus、以及RedDrip等安全研究人員發現,它也可被用來遠端執行程式碼。研究人員Zhiniang Peng、Xuefeng Li稱之為PrintNightMare漏洞。

 7月7日報導更新 

●  微軟緊急發布PrintNightmare高風險漏洞的修補程式

 7月9日報導更新 

● 微軟7月6日釋出的PrintNightmare漏洞修補,被研究人員判定無效

 7月12日報導更新 

● PrintNightmare修補程式造成數款印表機失靈

 7月14日報導更新  

● Windows PrintNightmare漏洞出現多起攻擊,美CISA呼籲聯邦政府全面安裝更新

● 微軟:PrintNightmare漏洞確實補好了

 7月19日報導更新 

又有新的Print Spooler漏洞,微軟呼籲快關閉Print Spooler服務

研究人員發現Windows列印緩衝處理程式,有個一度被低估的遠端程式碼漏洞,網路上已出現概念驗證攻擊程式。

編號為CVE-2021-1675的漏洞,是微軟上個月Patch Tuesday中修補的50項漏洞之一。它位於Windows列印多工緩衝處理器(Print Spooler)之中,當時微軟僅將之視為一本地權限升級(Local Privilege Escalation,LPE)漏洞,但隨後騰訊玄武實驗室、NSFocus、以及RedDrip等安全研究人員發現,它也可被用來遠端執行程式碼。微軟也在上周更新CVE-2021-1675的說明,將之改為遠端程式碼執行(RCE)漏洞,CVSS 3.0風險層級7.8。

成功開採可讓攻擊者執行任意程式並接管Windows電腦,不過前提是攻擊者必須具備Windows Spooler服務的執行權限。研究人員也稱之為PrintNightMare漏洞

這並非罕見漏洞。10年前Windows Print Spooler的一項權限升級漏洞,就曾遭到惡名昭彰的蠕蟲程式Stuxnet開採,而迄今仍不時被發現存在漏洞。

雖然微軟及研究人員並未公佈CVE-2021-1675的細節,不過代號Cube0x0的研究人員本周,卻在GitHub發佈該漏洞的PoC。由於GitHub可公開使用,有使用者發現原初的PoC已被刪除,但又被別人分叉出去

微軟已在6月的Patch Tuesday修補CVE-2021-1675,但ThreatPost報導Cube0x0的PoC,可在已修補好的Windows環境下開採這項漏洞,也就是意謂微軟可能修補不全。

報導引述趨勢科技Zero Day Initiative安全研究人員Dustin Childs指出,從6月份微軟修補的漏洞序號在31000以上,唯獨PrintNightMare序號為1675,顯示微軟可能很早就知道這項漏洞,但是修補不易。

不論結果如何,研究人員建議企業應視為尚未修補,但已出現PoC的漏洞,應採取措施,像是關閉Print Spooler服務,並且封鎖網路設備的TCP port 135及445。

熱門新聞

Advertisement