上個月，一名安全研究人員意外發(fā)現(xiàn)了一個名為PrintNightmare的0 day漏洞，利用此漏洞，黑客可以在補丁完善的Windows Print Spooler設(shè)備上獲得完整的遠程代碼執(zhí)行能力，此漏洞被微軟追蹤為CVE-2021-34527。

　　在6月補丁星期二活動日中，微軟發(fā)布的安全累積更新中修復(fù)了一個類似的Print Spooler漏洞。但是對于已經(jīng)打過補丁的Windows Server 2019設(shè)備，PrintNightmare漏洞依然有效，并允許攻擊者遠程執(zhí)行代碼。

　　由于修復(fù)不完整，安全研究人員一直在仔細(xì)檢查，并發(fā)現(xiàn)了影響Windows打印后臺處理程序的更多漏洞。

　　攻擊中使用的遠程打印服務(wù)器

　　安全研究員和Mimikatz的創(chuàng)建者Benjamin Delpy公開披露了一個新的0 day漏洞，該漏洞允許威脅參與者通過他們控制的遠程打印服務(wù)器輕松獲得Windows機器上的系統(tǒng)權(quán)限。

　　您知道什么比Legit Kiwi打印機更好嗎？另一臺Legit Kiwi打印機……完全沒有先決條件，你甚至不需要簽署驅(qū)動程序/包pic.twitter.com/oInb5jm3tE—本杰明·德爾佩（@gentilkiwi），2021年7月16日

　　在與BleepingComputer的交流中，Delpy表示，他的漏洞利用Windows指向和打印功能的“隊列特定文件”功能，在客戶端連接到攻擊者控制下的打印服務(wù)器時自動下載并執(zhí)行惡意DLL。

　　“在打印機安裝時，供應(yīng)商提供的安裝應(yīng)用程序可以指定一組與特定的打印隊列相關(guān)聯(lián)的任何類型的文件，”微軟關(guān)于“隊列特定文件”功能的文檔解釋說。

　　“文件被下載到連接到打印服務(wù)器的每個客戶端。”

　　為了利用該漏洞，研究人員創(chuàng)建了一個可通過Internet訪問的打印服務(wù)器，其中包含兩臺使用隊列特定文件功能的共享打印機。

　　執(zhí)行惡意DLL時，它將以SYSTEM權(quán)限運行，可用于在計算機上運行任何命令。

　　CERT/CC的漏洞分析師Will Dormann發(fā)布了針對此漏洞的公告，提供了更多信息。

　　“雖然Windows強制驅(qū)動程序包本身由受信任的來源簽名，但Windows打印機驅(qū)動程序可以指定與設(shè)備使用相關(guān)的隊列特定文件。例如，共享打印機可以為任意ICM文件指定CopyFiles指令。”

　　“這些用數(shù)字簽名強制打印機驅(qū)動程序文件一起復(fù)制的文件不受任何簽名要求的約束。也就是說，任何文件都可以通過Point and Print打印機驅(qū)動程序安裝復(fù)制到客戶端系統(tǒng)，在那里它可以由另一臺具有SYSTEM特權(quán)的打印機使用。”

　　“這允許在易受攻擊的系統(tǒng)上進行LPE。”

　　使此漏洞如此危險的原因在于，它會影響所有當(dāng)前版本的Windows，并允許威脅行為者獲得對網(wǎng)絡(luò)的有限訪問權(quán)限，同時立即在易受攻擊的設(shè)備上獲得SYSTEM權(quán)限。

　　使用此訪問權(quán)限，威脅參與者可以通過網(wǎng)絡(luò)橫向傳播，直到他們獲得對域控制器的訪問權(quán)限。

　　Delpy創(chuàng)建了一個可公開訪問的遠程打印服務(wù)器，可用于測試上述漏洞。

　　緩解新的打印機漏洞

　　好消息是Delpy和Dormann共享了兩種可用于緩解這種新的“Queue-specific文件”漏洞的方法。

　　CERT咨詢中概述了這兩種方法。

　　選項1：在網(wǎng)絡(luò)邊界阻止出站SMB流量

　　由于Delpy的公開漏洞利用遠程打印服務(wù)器，您可以阻止出站SMB流量以防止訪問遠程計算機。

　　但是，Dormann表示MS-WPRN也可用于在不使用SMB的情況下安裝驅(qū)動程序，并且威脅行為者仍然可以通過本地打印機服務(wù)器使用此技術(shù)。

　　因此，這種緩解措施不是阻止漏洞利用的故障安全方法。

　　選項2：配置PackagePoint和PrintServerList

　　防止此漏洞的更好方法是將包點和打印限制到批準(zhǔn)的服務(wù)器。此策略設(shè)置限制到已批準(zhǔn)服務(wù)器的程序包點和打印連接。此設(shè)置僅適用于“打包點”和“打印”連接，并且獨立于控制非包點和打印連接的行為的“點”和“打印限制”策略。

　　如果啟用此設(shè)置，則用戶只能將點和打印到網(wǎng)絡(luò)管理員批準(zhǔn)的打印服務(wù)器。使用包點和打印時，客戶端計算機將檢查從打印服務(wù)器下載的所有驅(qū)動程序的驅(qū)動程序簽名。

　　此策略設(shè)置控制客戶端Point和Print行為，包括Vista計算機Windows提示。策略設(shè)置僅適用于非打印管理員客戶端，并且僅適用于作為域成員的計算機。

　　使用此組策略將針對已知漏洞提供最佳保護。

　　BleepingComputer已就該問題與Microsoft聯(lián)系，但尚未收到回復(fù)。