微軟本周二修復(fù)了一個(gè)“震網(wǎng)”級(jí)別的資深漏洞
2020年05月15日
每月的“補(bǔ)丁星期二”�,微軟都會(huì)例行發(fā)布針對(duì)各種漏洞的補(bǔ)丁程序���,但是本周二微軟發(fā)布的一大堆補(bǔ)丁中���,其中一些修復(fù)了一個(gè)“震網(wǎng)”級(jí)別的資深漏洞——一個(gè)易于利用的Windows打印機(jī)后臺(tái)程序——Windows Print Spooler的漏洞(CVE-2020-1048)�,安全公司SafeBreach的研究人員發(fā)現(xiàn)了這個(gè)“新”漏洞�����,該漏洞已于昨天微軟發(fā)布補(bǔ)丁后被披露���。
該漏洞并不屬于“潛伏”在Windows內(nèi)部的超級(jí)復(fù)雜的遠(yuǎn)程代碼執(zhí)行錯(cuò)誤,而是一種“謙遜”的提權(quán)漏洞�,過(guò)去沒(méi)有引起研究人員的過(guò)多關(guān)注。根據(jù)已經(jīng)披露的信息�,該漏洞會(huì)影響Windows的許多最新版本,包括Windows Server 2008�����、2012�、2016和2019以及Windows 7、8.1和10�。
當(dāng)Windows Print Spooler服務(wù)配置錯(cuò)誤允許對(duì)文件系統(tǒng)的任意寫入時(shí),存在特權(quán)提升漏洞����。成功利用此漏洞的攻擊者可以以提升的系統(tǒng)特權(quán)運(yùn)行任意代碼。然后���,攻擊者可能會(huì)安裝程序����,查看、更改或刪除數(shù)據(jù)����;或創(chuàng)建具有完全用戶權(quán)限的新賬戶。
Windows打印后臺(tái)處理程序是操作系統(tǒng)中管理打印過(guò)程的服務(wù)���。該服務(wù)已經(jīng)在Windows中存在了很長(zhǎng)時(shí)間���,并且多年來(lái)沒(méi)有太大變化。該程序處理查找和加載打印驅(qū)動(dòng)程序�,創(chuàng)建打印作業(yè),然后最終執(zhí)行打印的后端功能��。通常����,這種服務(wù)類型不會(huì)引起研究人員或攻擊者的廣泛關(guān)注,但是大約十年前�����,至少有一個(gè)團(tuán)隊(duì)花費(fèi)了大量時(shí)間對(duì)其進(jìn)行深入研究——Stuxnet(震網(wǎng))團(tuán)隊(duì)。
Stuxnet震網(wǎng)蠕蟲在2010年襲擊了伊朗的幾處核設(shè)施��,后來(lái)又利用與本周披露的Windows print spooler服務(wù)漏洞類似的漏洞傳播到了全球許多網(wǎng)絡(luò)的Windows電腦中����。該漏洞也是Stuxnet首次曝光的四個(gè)零日漏洞之一。
Stuxnet是一個(gè)史無(wú)前例的惡意軟件����,其中包含針對(duì)SCADA���、工業(yè)控制系統(tǒng)以及Windows的漏洞利用攻擊���。甚至10年后的今天,Stuxnet仍被認(rèn)為是有史以來(lái)最復(fù)雜的惡意軟件之一����。
Stuxnet利用的打印后臺(tái)處理程序漏洞(CVE-2010-2729)的描述與Microsoft本周修復(fù)的漏洞極為相似,但有一個(gè)明顯的區(qū)別��,Stuxnet利用的漏洞可實(shí)現(xiàn)Windows XP計(jì)算機(jī)上的遠(yuǎn)程代碼執(zhí)行�。
據(jù)發(fā)現(xiàn)漏洞的SafeBreach的研究人員介紹,這個(gè)新漏洞也引起了其他研究人員的注意����,他們發(fā)現(xiàn)該漏洞不僅與Stuxnet錯(cuò)誤有關(guān)���,而且易于利用。根據(jù)Windows咨詢和培訓(xùn)公司W(wǎng)insider的Yarden Shafir和Alex Ionescu所做的詳細(xì)分析�,只需一行PowerShell即可利用此漏洞并在易受攻擊的系統(tǒng)上安裝持久后門。
具有諷刺意味的是��,后臺(tái)打印程序仍然是最古老的Windows組件之一�,自Windows NT 4以來(lái)它基本上沒(méi)有任何變化,但仍受到很多關(guān)注����,甚至被著名的Stuxnet濫用。
由于它的簡(jiǎn)單性和年代久遠(yuǎn)�,該打印服務(wù)可能是Windows歷史上最“受歡迎”的脆弱點(diǎn)之一,至少能排名前五�,Stuxnet之后該服務(wù)得到了強(qiáng)化,但顯然依然不堪一擊����。
SafeBreach安全研究人員透露,他們還發(fā)現(xiàn)并披露了其他一些尚未修復(fù)的錯(cuò)誤��,“因此肯定還有一些巨龍藏在水下?����!?br style="margin: 0px; padding: 0px; max-width: 100%; box-sizing: border-box; word-wrap: break-word !important;"/>
江蘇國(guó)駿為您提供全面可信的信息安全服務(wù)
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
長(zhǎng)按二維碼關(guān)注我們
