微軟本周二修復(fù)了一個“震網(wǎng)”級別的資深漏洞
2020年05月15日
每月的“補丁星期二”����,微軟都會例行發(fā)布針對各種漏洞的補丁程序����,但是本周二微軟發(fā)布的一大堆補丁中���,其中一些修復(fù)了一個“震網(wǎng)”級別的資深漏洞——一個易于利用的Windows打印機后臺程序——Windows Print Spooler的漏洞(CVE-2020-1048)���,安全公司SafeBreach的研究人員發(fā)現(xiàn)了這個“新”漏洞�,該漏洞已于昨天微軟發(fā)布補丁后被披露�。
該漏洞并不屬于“潛伏”在Windows內(nèi)部的超級復(fù)雜的遠程代碼執(zhí)行錯誤,而是一種“謙遜”的提權(quán)漏洞��,過去沒有引起研究人員的過多關(guān)注�����。根據(jù)已經(jīng)披露的信息����,該漏洞會影響Windows的許多最新版本�����,包括Windows Server 2008����、2012����、2016和2019以及Windows 7、8.1和10�。
當Windows Print Spooler服務(wù)配置錯誤允許對文件系統(tǒng)的任意寫入時���,存在特權(quán)提升漏洞���。成功利用此漏洞的攻擊者可以以提升的系統(tǒng)特權(quán)運行任意代碼�����。然后�����,攻擊者可能會安裝程序����,查看����、更改或刪除數(shù)據(jù);或創(chuàng)建具有完全用戶權(quán)限的新賬戶。
Windows打印后臺處理程序是操作系統(tǒng)中管理打印過程的服務(wù)�����。該服務(wù)已經(jīng)在Windows中存在了很長時間����,并且多年來沒有太大變化。該程序處理查找和加載打印驅(qū)動程序,創(chuàng)建打印作業(yè)��,然后最終執(zhí)行打印的后端功能�。通常,這種服務(wù)類型不會引起研究人員或攻擊者的廣泛關(guān)注��,但是大約十年前�����,至少有一個團隊花費了大量時間對其進行深入研究——Stuxnet(震網(wǎng))團隊�。
Stuxnet震網(wǎng)蠕蟲在2010年襲擊了伊朗的幾處核設(shè)施�����,后來又利用與本周披露的Windows print spooler服務(wù)漏洞類似的漏洞傳播到了全球許多網(wǎng)絡(luò)的Windows電腦中。該漏洞也是Stuxnet首次曝光的四個零日漏洞之一����。
Stuxnet是一個史無前例的惡意軟件����,其中包含針對SCADA、工業(yè)控制系統(tǒng)以及Windows的漏洞利用攻擊。甚至10年后的今天�����,Stuxnet仍被認為是有史以來最復(fù)雜的惡意軟件之一����。
Stuxnet利用的打印后臺處理程序漏洞(CVE-2010-2729)的描述與Microsoft本周修復(fù)的漏洞極為相似,但有一個明顯的區(qū)別,Stuxnet利用的漏洞可實現(xiàn)Windows XP計算機上的遠程代碼執(zhí)行。
據(jù)發(fā)現(xiàn)漏洞的SafeBreach的研究人員介紹��,這個新漏洞也引起了其他研究人員的注意�,他們發(fā)現(xiàn)該漏洞不僅與Stuxnet錯誤有關(guān),而且易于利用。根據(jù)Windows咨詢和培訓(xùn)公司W(wǎng)insider的Yarden Shafir和Alex Ionescu所做的詳細分析�,只需一行PowerShell即可利用此漏洞并在易受攻擊的系統(tǒng)上安裝持久后門���。
具有諷刺意味的是��,后臺打印程序仍然是最古老的Windows組件之一,自Windows NT 4以來它基本上沒有任何變化��,但仍受到很多關(guān)注�,甚至被著名的Stuxnet濫用。
由于它的簡單性和年代久遠,該打印服務(wù)可能是Windows歷史上最“受歡迎”的脆弱點之一���,至少能排名前五,Stuxnet之后該服務(wù)得到了強化,但顯然依然不堪一擊。
SafeBreach安全研究人員透露���,他們還發(fā)現(xiàn)并披露了其他一些尚未修復(fù)的錯誤,“因此肯定還有一些巨龍藏在水下?�!?br style="margin: 0px; padding: 0px; max-width: 100%; box-sizing: border-box; word-wrap: break-word !important;"/>
江蘇國駿為您提供全面可信的信息安全服務(wù)
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
長按二維碼關(guān)注我們
