雖然每月的補丁星期二活動微軟都會發(fā)布一系列安全更新，但依然存在“漏網(wǎng)之魚”。日前，國內安全公司深信服(Sangfor)發(fā)現(xiàn)了名為 PrintNightmare 的零日漏洞，允許黑客在補丁完善的 Windows Print Spooler 設備上獲得完整的遠程代碼執(zhí)行能力。該漏洞已引起美國網(wǎng)絡安全和基礎設施安全局(CISA)的關注，微軟正在積極開展調查。

[[408942]]

CISA 將 PrintNightmare 漏洞描述為“關鍵漏洞”(Critical)，因為它可以遠程執(zhí)行代碼。CERT 協(xié)調中心在 VU#383432 下對其進行跟蹤，并解釋說，問題的發(fā)生是因為 WindowsPrint Spooler 服務沒有限制對 RpcAddPrinterDriverEx 函數(shù)的訪問，這意味著經(jīng)過遠程驗證的攻擊者可以利用它來運行任意代碼。這種任意代碼的執(zhí)行是在SYSTEM的幌子下進行的。

作為參考，這個有問題的函數(shù)通常用于安裝打印機驅動程序。然而，由于遠程訪問是不受限制的，這意味著有動機的攻擊者可以使它指向遠程服務器上的驅動程序，使受感染的機器以SYSTEM權限執(zhí)行任意代碼。

值得注意的是，微軟在6月的 "補丁星期二 "更新中修復了CVE-2021-1675的相關問題，但最新的進展并不在修復范圍內。該公司表示，它正在積極調查這個問題，并為域名管理員提出了兩個解決方法。第一個是禁用 Windows Print Spooler 服務，但這意味著本地和遠程的打印都將被禁用。第二種是通過組策略禁用入站遠程打印。這將限制遠程打印，但本地打印仍將正常工作。

微軟正在以CVE-2021-34527追蹤該漏洞。該公司明確表示，有問題的代碼存在于所有版本的Windows中，但它仍在調查它是否也可以在所有版本中被利用。也就是說，由于該問題正在積極調查中，微軟還沒有給它一個漏洞評分，但也將其標記為 "關鍵"。