所有Windows系統都存在PrintNightmare漏洞,且被廣泛利用
近日,微軟警告Windows用戶稱,Windows Print Spooler服務中存在未修補的嚴重漏洞。
本以為漏洞已被修復,意外披露PoC
這個被稱為“PrintNightmare”的漏洞是在安全研究人員意外發布概念驗證(PoC)漏洞后于本周早些時候被發現的。雖然微軟尚未對該漏洞進行CVSS評分或嚴重程度分級,但它允許攻擊者以系統級權限遠程執行任意代碼。
早前,可能是與微軟之間的溝通出現了問題,導致某網絡安全公司的研究人員發布了該漏洞的概念驗證代碼(PoC),錯誤地認為它已經作為CVE-2021-1675的一部分進行了修補,結果意外披露了零日漏洞。盡管該概念驗證代碼很快就從Github上撤下,但不幸的是,在此之前該項目就已被復制。
漏洞發現幾天后,微軟方面才最終發布了關于零日漏洞的警報。該公司甚至警告用戶PrintNightmare漏洞正在被廣泛利用。由于該漏洞允許攻擊者以系統權限運行任意代碼,因此成功利用該漏洞的不法分子可以安裝程序、處理數據或創建具有完全用戶權限的新賬戶。
微軟還承認,PrintNightmare影響所有Windows版本中的Windows Print Spooler,包括安裝在個人計算機、企業網絡、Windows服務器和域控制器上的版本,但尚不清楚它是否可以在Windows以外的服務器版本上利用。
微軟建議禁用 Windows Print Spooler 服務
目前,微軟正在開發補丁,但有證據表明 PoC 漏洞已被使用。企業和企業用戶最容易受到攻擊,但一般用戶也可能面臨風險。該公司建議稱,在補丁可用之前可以先禁用 Windows Print Spooler 服務。
如果停止所有打印不現實,網絡管理員可以使用組策略禁用入站遠程打印,這樣一來即使是打印服務器任務中斷,也至少可以提供本地打印服務。
但一般用戶需要使用Powershell命令將其關閉,這將保護您的 PC 免受任何 PrintNightmare 威脅:
- 使用任務欄或Windows開始菜單搜索“Powershell”;
- 右鍵單擊Powershell并選擇“以管理員身份運行”;
- 在Powershell提示符下,運行以下命令以禁用Windows Print Spooler:
- Stop-Service -Name Spooler -Force
- Set-Service -Name Spooler -StartupType Disabled
等到微軟發布補丁并完成安全更新后,您可以使用以下兩個命令在Powershell中重新啟用 Print Spool 服務:
- Set-Service -Name Spooler -StartupType Automatic
- Start-Service -Name Spooler
除此之外,網絡安全和基礎設施安全局(CISA)建議管理員“在域控制器和無需打印服務的系統中禁用 Windows Print Spooler 服務”。
多年來,Windows Print Spooler 服務中的漏洞一直是系統管理員頭疼的問題。最臭名昭著的例子是震網(Stuxnet)病毒。 十多年前,Stuxnet 使用多個0-day 漏洞,包括Windows Print Spooler漏洞,摧毀了數臺伊朗核離心機。
