[[413453]]

上個(gè)月，一名安全研究人員意外發(fā)現(xiàn)了一個(gè)名為PrintNightmare的0day漏洞，利用此漏洞，黑客可以在補(bǔ)丁完善的Windows Print Spooler設(shè)備上獲得完整的遠(yuǎn)程代碼執(zhí)行能力，此漏洞被微軟追蹤為CVE-2021-34527。

在6月補(bǔ)丁星期二活動(dòng)日中，微軟發(fā)布的安全累積更新中修復(fù)了一個(gè)類似的Print Spooler漏洞。但是對于已經(jīng)打過補(bǔ)丁的Windows Server 2019設(shè)備，PrintNightmare漏洞依然有效，并允許攻擊者遠(yuǎn)程執(zhí)行代碼。

由于修復(fù)不完整，安全研究人員一直在仔細(xì)檢查，并發(fā)現(xiàn)了影響Windows打印后臺(tái)處理程序的更多漏洞。

攻擊中使用的遠(yuǎn)程打印服務(wù)器

安全研究員和Mimikatz的創(chuàng)建者Benjamin Delpy公開披露了一個(gè)新的0day漏洞，該漏洞允許威脅參與者通過他們控制的遠(yuǎn)程打印服務(wù)器輕松獲得Windows機(jī)器上的系統(tǒng)權(quán)限。

• 您知道什么比Legit Kiwi打印機(jī)更好嗎?
• 另一臺(tái)Legit Kiwi打印機(jī)......
• 完全沒有先決條件，你甚至不需要簽署驅(qū)動(dòng)程序/包pic.twitter.com/oInb5jm3tE
• —本杰明·德爾佩(@gentilkiwi)，2021年7月16日

在與BleepingComputer的交流中，Delpy表示，他的漏洞利用Windows指向和打印功能的“隊(duì)列特定文件”功能，在客戶端連接到攻擊者控制下的打印服務(wù)器時(shí)自動(dòng)下載并執(zhí)行惡意DLL。

“在打印機(jī)安裝時(shí)，供應(yīng)商提供的安裝應(yīng)用程序可以指定一組與特定的打印隊(duì)列相關(guān)聯(lián)的任何類型的文件，”微軟關(guān)于“隊(duì)列特定文件”功能的文檔解釋說。

“文件被下載到連接到打印服務(wù)器的每個(gè)客戶端。”

為了利用該漏洞，研究人員創(chuàng)建了一個(gè)可通過Internet訪問的打印服務(wù)器，其中包含兩臺(tái)使用隊(duì)列特定文件功能的共享打印機(jī)。

執(zhí)行惡意DLL時(shí)，它將以SYSTEM權(quán)限運(yùn)行，可用于在計(jì)算機(jī)上運(yùn)行任何命令。

CERT/CC的漏洞分析師Will Dormann發(fā)布了針對此漏洞的公告，提供了更多信息。

“雖然Windows強(qiáng)制驅(qū)動(dòng)程序包本身由受信任的來源簽名，但Windows打印機(jī)驅(qū)動(dòng)程序可以指定與設(shè)備使用相關(guān)的隊(duì)列特定文件。例如，共享打印機(jī)可以為任意ICM文件指定CopyFiles指令。”

“這些用數(shù)字簽名強(qiáng)制打印機(jī)驅(qū)動(dòng)程序文件一起復(fù)制的文件不受任何簽名要求的約束。也就是說，任何文件都可以通過Point and Print打印機(jī)驅(qū)動(dòng)程序安裝復(fù)制到客戶端系統(tǒng)，在那里它可以由另一臺(tái)具有SYSTEM特權(quán)的打印機(jī)使用。”

“這允許在易受攻擊的系統(tǒng)上進(jìn)行LPE。”

使此漏洞如此危險(xiǎn)的原因在于，它會(huì)影響所有當(dāng)前版本的Windows，并允許威脅行為者獲得對網(wǎng)絡(luò)的有限訪問權(quán)限，同時(shí)立即在易受攻擊的設(shè)備上獲得SYSTEM權(quán)限。

使用此訪問權(quán)限，威脅參與者可以通過網(wǎng)絡(luò)橫向傳播，直到他們獲得對域控制器的訪問權(quán)限。

Delpy創(chuàng)建了一個(gè)可公開訪問的遠(yuǎn)程打印服務(wù)器，可用于測試上述漏洞。

緩解新的打印機(jī)漏洞

好消息是Delpy和Dormann共享了兩種可用于緩解這種新的“Queue-specific文件”漏洞的方法。

CERT咨詢中概述了這兩種方法。

選項(xiàng)1：在網(wǎng)絡(luò)邊界阻止出站SMB流量

由于Delpy的公開漏洞利用遠(yuǎn)程打印服務(wù)器，您可以阻止出站SMB流量以防止訪問遠(yuǎn)程計(jì)算機(jī)。

但是，Dormann表示MS-WPRN也可用于在不使用SMB的情況下安裝驅(qū)動(dòng)程序，并且威脅行為者仍然可以通過本地打印機(jī)服務(wù)器使用此技術(shù)。

因此，這種緩解措施不是阻止漏洞利用的故障安全方法。

選項(xiàng)2：配置PackagePoint和PrintServerList

防止此漏洞的更好方法是將包點(diǎn)和打印限制到批準(zhǔn)的服務(wù)器。此策略設(shè)置限制到已批準(zhǔn)服務(wù)器的程序包點(diǎn)和打印連接。此設(shè)置僅適用于“打包點(diǎn)”和“打印”連接，并且獨(dú)立于控制非包點(diǎn)和打印連接的行為的“點(diǎn)”和“打印限制”策略。

如果啟用此設(shè)置，則用戶只能將點(diǎn)和打印到網(wǎng)絡(luò)管理員批準(zhǔn)的打印服務(wù)器。使用包點(diǎn)和打印時(shí)，客戶端計(jì)算機(jī)將檢查從打印服務(wù)器下載的所有驅(qū)動(dòng)程序的驅(qū)動(dòng)程序簽名。

此策略設(shè)置控制客戶端Point和Print行為，包括Vista計(jì)算機(jī)Windows提示。策略設(shè)置僅適用于非打印管理員客戶端，并且僅適用于作為域成員的計(jì)算機(jī)。

使用此組策略將針對已知漏洞提供最佳保護(hù)。

BleepingComputer已就該問題與Microsoft聯(lián)系，但尚未收到回復(fù)。

本文翻譯自：https://www.bleepingcomputer.com/news/microsoft/new-windows-print-spooler-zero-day-exploitable-via-remote-print-servers/如若轉(zhuǎn)載，請注明原文地址。