微軟發現新漏洞可影響全部windows版本 目前已發現針對此漏洞惡意活動

微軟針對「PrintNightmare」漏洞發佈新的CVE

微軟上週四爲影響Windows Print Spooler 服務的「PrintNightmare」缺陷發佈了一個新的漏洞標識符 (CVE)，聲稱該缺陷與該技術中的另外一個關鍵缺陷 ( CVE-2021-1675 )類似，但又不一樣於 6月8日它已修補的另外一個關鍵缺陷 ( CVE-2021-1675 )。

同時針對新漏洞發佈的CVE發佈了常見問題解答和解決方法，並調查了漏洞利用代碼已經公開可用的關鍵新漏洞。該公司在 7月1日表示：「微軟已經意識到並調查了一個影響Windows Print Spooler的遠程代碼執行漏洞，並已將CVE-2021-34527分配給該漏洞。這是一個不斷髮展的狀況，咱們將更新 CVE 做爲更多信息是可用的。」

CERT CC警報指向了微軟在6月8日針對CVE-2021-1675發佈的更新，並警告說它對 PrintNightmare攻擊無效。

「雖然微軟已經發布了CVE-2021-1675的更新，但重要的是要意識到這個更新並無解決也標識爲CVE-2021-1675的公共漏洞，」CERT CC的漏洞說明稱。CERT警報——就像來自CISA的警報同樣——敦促組織在關鍵系統上禁用Print Spooler，由於它存在漏洞風險。若是成功利用PrintNightmare缺陷，通過身份驗證的攻擊者將得到對易受攻擊系統的完整系統級訪問權限。

微軟在7月1日的更新中試圖將PrintNightmare與它在6月8日修補的漏洞分開，儘管二者都影響徹底相同Print Spooler函數—RpcAddPrinterDriverEx()。這將使 PrintNightmare 正式成爲Print Spooler中的一個新的零日漏洞，目前能夠利用該漏洞。Fortinet已針對該漏洞發佈了 IPS 簽名。

據該公司稱，PrintNightmare 漏洞在2021年6月更新以前存在於Print Spooler中，而且涉及與CVE-2021-1675不一樣的攻擊向量。該公司表示，全部Windows版本都受到 PrintNightmare 漏洞的影響，但微軟仍在調查針對它的漏洞利用是否適用於全部版本。

微軟表示，域控制器——任何網絡上最關鍵的資源之一——都會受到影響。目前仍在調查其餘類型的角色是否也受到影響。

PrintNightmare解決方法

微軟建議組織禁用Print Spooler服務或使用組策略禁用入站遠程打印。該公司表示，禁用Spooler將禁用本地和遠程打印的能力，而禁用入站遠程打印將容許本地打印到直接鏈接的設備。

卡巴斯基安全研究員表示，雖然微軟的官方立場是PrintNightmare是一個獨立於 CVE-2021-1675 的漏洞，但二者可能源於相同的根本緣由。「CVE-2021-1675 旨在修補本地特權提高的狀況，但 PrintNightmare 容許在攻擊者訪問 Print Spooler服務時遠程執行代碼，」他說。「在補丁中可能沒有考慮遠程利用場景。」

若是多年來在 Print Spooler中發現的漏洞，PrintNightmare只是一長串列表中的最新一個。這些漏洞中最嚴重的是特權升級問題，早在2010年，該問題就使美國領導的Stuxnet 攻擊對伊朗位於納坦茲的鈾濃縮設施發起了攻擊。

研究人員在GitHub上發佈了PrintNightmare的利用證實代碼，但在其餘研究人員的反駁後迅速將其刪除。然而，在它在GitHub上可用的短暫時間窗口內，漏洞利用代碼被複制，所以能夠在野外使用。

微軟公告指出，該公司已檢測到針對該漏洞的漏洞利用活動。

沒有網絡安全就沒有國家安全，隨着網絡攻擊滲透到生活中的方方面面，任何一個不起眼的漏洞均可能引發一場嚴重的後果。保障數據安全已經成爲各國重點工做，從9月1日即將實施的《數據安全法》中不難看出，國家開始重視數據安全檢測評估等活動。提早作好數據安全檢測及防範，提升網絡安全意識，爲更好地保障數據安全，構建安全的網絡環境打好基礎。

參讀連接：

www.woocoom.com/b021.html?i…

beta.darkreading.com/endpoint/mi…