微软发现新漏洞可影响所有windows版本 目前已发现针对此漏洞恶意活动 – 作者:中科天齐软件安全中心

微软针对“PrintNightmare”漏洞发布新的CVE

微软上周四为影响Windows Print Spooler 服务的“PrintNightmare”缺陷发布了一个新的漏洞标识符 (CVE),声称该缺陷与该技术中的另一个关键缺陷 ( CVE-2021-1675 )相似,但又不同于 6月8日它已修补的另一个关键缺陷 ( CVE-2021-1675 )。

同时针对新漏洞发布的CVE发布了常见问题解答和解决方法,并调查了漏洞利用代码已经公开可用的关键新漏洞。该公司在 7月1日表示:“微软已经意识到并调查了一个影响Windows Print Spooler的远程代码执行漏洞,并已将CVE-2021-34527分配给该漏洞。这是一个不断发展的情况,我们将更新 CVE 作为更多信息是可用的。”

CERT CC警报指向了微软在6月8日针对CVE-2021-1675发布的更新,并警告说它对 PrintNightmare攻击无效。

“虽然微软已经发布了CVE-2021-1675的更新,但重要的是要意识到这个更新并没有解决也标识为CVE-2021-1675的公共漏洞,”CERT CC的漏洞说明称。CERT警报——就像来自CISA的警报一样——敦促组织在关键系统上禁用Print Spooler,因为它存在漏洞风险。如果成功利用PrintNightmare缺陷,经过身份验证的攻击者将获得对易受攻击系统的完整系统级访问权限。

微软在7月1日的更新中试图将PrintNightmare与它在6月8日修补的漏洞分开,尽管两者都影响完全相同Print Spooler函数—RpcAddPrinterDriverEx()。这将使 PrintNightmare 正式成为Print Spooler中的一个新的零日漏洞,目前可以利用该漏洞。Fortinet已针对该漏洞发布了 IPS 签名。

据该公司称,PrintNightmare 漏洞在2021年6月更新之前存在于Print Spooler中,并且涉及与CVE-2021-1675不同的攻击向量。该公司表示,所有Windows版本都受到 PrintNightmare 漏洞的影响,但微软仍在调查针对它的漏洞利用是否适用于所有版本。

微软表示,域控制器——任何网络上最关键的资源之一——都会受到影响。目前仍在调查其他类型的角色是否也受到影响。

PrintNightmare解决方法

微软建议组织禁用Print Spooler服务或使用组策略禁用入站远程打印。该公司表示,禁用Spooler将禁用本地和远程打印的能力,而禁用入站远程打印将允许本地打印到直接连接的设备。

卡巴斯基安全研究员表示,虽然微软的官方立场是PrintNightmare是一个独立于 CVE-2021-1675 的漏洞,但两者可能源于相同的根本原因。“CVE-2021-1675 旨在修补本地特权提升的情况,但 PrintNightmare 允许在攻击者访问 Print Spooler服务时远程执行代码,”他说。“在补丁中可能没有考虑远程利用场景。”

如果多年来在 Print Spooler中发现的漏洞,PrintNightmare只是一长串列表中的最新一个。这些漏洞中最严重的是特权升级问题,早在2010年,该问题就使美国领导的Stuxnet 攻击对伊朗位于纳坦兹的铀浓缩设施发起了攻击。

研究人员在GitHub上发布了PrintNightmare的利用证明代码,但在其他研究人员的反驳后迅速将其删除。然而,在它在GitHub上可用的短暂时间窗口内,漏洞利用代码被复制,因此可以在野外使用。

微软公告指出,该公司已检测到针对该漏洞的漏洞利用活动。

没有网络安全就没有国家安全,随着网络攻击渗透到生活中的方方面面,任何一个不起眼的漏洞都可能引起一场严重的后果。保障代码安全和数据安全已经成为各国重点工作,从9月1日即将实施的《数据安全法》中不难看出,国家开始重视数据安全检测评估等活动。提前做好数据安全检测及防范,提高网络安全意识,为更好地保障数据安全,构建安全的网络环境打好基础。

参读链接:

https://www.woocoom.com/b021.html?id=ecb06118d2654c6fa27ab3bb1708e785

https://beta.darkreading.com/endpoint/microsoft-issues-new-cve-for-printnightmare-flaw

来源:freebuf.com 2021-07-05 10:44:58 by: 中科天齐软件安全中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论