上個(gè)月，一名安全研究人員意外發(fā)現(xiàn)了一個(gè)名為PrintNightmare的0 day漏洞，利用此漏洞，黑客可以在補(bǔ)丁完善的Windows Print Spooler設(shè)備上獲得完整的遠(yuǎn)程代碼執(zhí)行能力，此漏洞被微軟追蹤為CVE-2021-34527。

　　在6月補(bǔ)丁星期二活動(dòng)日中，微軟發(fā)布的安全累積更新中修復(fù)了一個(gè)類似的Print Spooler漏洞。但是對(duì)于已經(jīng)打過(guò)補(bǔ)丁的Windows Server 2019設(shè)備，PrintNightmare漏洞依然有效，并允許攻擊者遠(yuǎn)程執(zhí)行代碼。

　　由于修復(fù)不完整，安全研究人員一直在仔細(xì)檢查，并發(fā)現(xiàn)了影響Windows打印后臺(tái)處理程序的更多漏洞。

　　攻擊中使用的遠(yuǎn)程打印服務(wù)器

　　安全研究員和Mimikatz的創(chuàng)建者Benjamin Delpy公開(kāi)披露了一個(gè)新的0 day漏洞，該漏洞允許威脅參與者通過(guò)他們控制的遠(yuǎn)程打印服務(wù)器輕松獲得Windows機(jī)器上的系統(tǒng)權(quán)限。

　　您知道什么比Legit Kiwi打印機(jī)更好嗎？另一臺(tái)Legit Kiwi打印機(jī)……完全沒(méi)有先決條件，你甚至不需要簽署驅(qū)動(dòng)程序/包pic.twitter.com/oInb5jm3tE—本杰明·德?tīng)柵澹ˊgentilkiwi），2021年7月16日

　　在與BleepingComputer的交流中，Delpy表示，他的漏洞利用Windows指向和打印功能的“隊(duì)列特定文件”功能，在客戶端連接到攻擊者控制下的打印服務(wù)器時(shí)自動(dòng)下載并執(zhí)行惡意DLL。

　　“在打印機(jī)安裝時(shí)，供應(yīng)商提供的安裝應(yīng)用程序可以指定一組與特定的打印隊(duì)列相關(guān)聯(lián)的任何類型的文件，”微軟關(guān)于“隊(duì)列特定文件”功能的文檔解釋說(shuō)。

　　“文件被下載到連接到打印服務(wù)器的每個(gè)客戶端?！?/p>

　　為了利用該漏洞，研究人員創(chuàng)建了一個(gè)可通過(guò)Internet訪問(wèn)的打印服務(wù)器，其中包含兩臺(tái)使用隊(duì)列特定文件功能的共享打印機(jī)。

　　執(zhí)行惡意DLL時(shí)，它將以SYSTEM權(quán)限運(yùn)行，可用于在計(jì)算機(jī)上運(yùn)行任何命令。

　　CERT/CC的漏洞分析師Will Dormann發(fā)布了針對(duì)此漏洞的公告，提供了更多信息。

　　“雖然Windows強(qiáng)制驅(qū)動(dòng)程序包本身由受信任的來(lái)源簽名，但Windows打印機(jī)驅(qū)動(dòng)程序可以指定與設(shè)備使用相關(guān)的隊(duì)列特定文件。例如，共享打印機(jī)可以為任意ICM文件指定CopyFiles指令?！?/p>

　　“這些用數(shù)字簽名強(qiáng)制打印機(jī)驅(qū)動(dòng)程序文件一起復(fù)制的文件不受任何簽名要求的約束。也就是說(shuō)，任何文件都可以通過(guò)Point and Print打印機(jī)驅(qū)動(dòng)程序安裝復(fù)制到客戶端系統(tǒng)，在那里它可以由另一臺(tái)具有SYSTEM特權(quán)的打印機(jī)使用?！?/p>

　　“這允許在易受攻擊的系統(tǒng)上進(jìn)行LPE。”

　　使此漏洞如此危險(xiǎn)的原因在于，它會(huì)影響所有當(dāng)前版本的Windows，并允許威脅行為者獲得對(duì)網(wǎng)絡(luò)的有限訪問(wèn)權(quán)限，同時(shí)立即在易受攻擊的設(shè)備上獲得SYSTEM權(quán)限。

　　使用此訪問(wèn)權(quán)限，威脅參與者可以通過(guò)網(wǎng)絡(luò)橫向傳播，直到他們獲得對(duì)域控制器的訪問(wèn)權(quán)限。

　　Delpy創(chuàng)建了一個(gè)可公開(kāi)訪問(wèn)的遠(yuǎn)程打印服務(wù)器，可用于測(cè)試上述漏洞。

　　緩解新的打印機(jī)漏洞

　　好消息是Delpy和Dormann共享了兩種可用于緩解這種新的“Queue-specific文件”漏洞的方法。

　　CERT咨詢中概述了這兩種方法。

　　選項(xiàng)1：在網(wǎng)絡(luò)邊界阻止出站SMB流量

　　由于Delpy的公開(kāi)漏洞利用遠(yuǎn)程打印服務(wù)器，您可以阻止出站SMB流量以防止訪問(wèn)遠(yuǎn)程計(jì)算機(jī)。

　　但是，Dormann表示MS-WPRN也可用于在不使用SMB的情況下安裝驅(qū)動(dòng)程序，并且威脅行為者仍然可以通過(guò)本地打印機(jī)服務(wù)器使用此技術(shù)。

　　因此，這種緩解措施不是阻止漏洞利用的故障安全方法。

　　選項(xiàng)2：配置PackagePoint和PrintServerList

　　防止此漏洞的更好方法是將包點(diǎn)和打印限制到批準(zhǔn)的服務(wù)器。此策略設(shè)置限制到已批準(zhǔn)服務(wù)器的程序包點(diǎn)和打印連接。此設(shè)置僅適用于“打包點(diǎn)”和“打印”連接，并且獨(dú)立于控制非包點(diǎn)和打印連接的行為的“點(diǎn)”和“打印限制”策略。

　　如果啟用此設(shè)置，則用戶只能將點(diǎn)和打印到網(wǎng)絡(luò)管理員批準(zhǔn)的打印服務(wù)器。使用包點(diǎn)和打印時(shí)，客戶端計(jì)算機(jī)將檢查從打印服務(wù)器下載的所有驅(qū)動(dòng)程序的驅(qū)動(dòng)程序簽名。

　　此策略設(shè)置控制客戶端Point和Print行為，包括Vista計(jì)算機(jī)Windows提示。策略設(shè)置僅適用于非打印管理員客戶端，并且僅適用于作為域成員的計(jì)算機(jī)。

　　使用此組策略將針對(duì)已知漏洞提供最佳保護(hù)。

　　BleepingComputer已就該問(wèn)題與Microsoft聯(lián)系，但尚未收到回復(fù)。