泄露了关键 Windows Print Spooler 漏洞的 PoC (CVE-2021-1675)

CVE-2021-1675 是微软在 2021 年 6 月修补的一个 Windows Print Spooler 漏洞,其危险性比最初想象的要大得多:研究人员已经证明,它可以被用来实现远程代码执行——更糟糕的是——PoC 漏洞已经被泄露了。

PoC CVE-2021-1675

关于 CVE-2021-1675

感谢腾讯安全玄武实验室的霍志鹏、AFINE的Piotr Madej和绿盟科技天机实验室的张云海, CVE-2021-1675 最初被归类为低严重性漏洞,允许本地权限提升,并在 2021 年 6 月补丁星期二进行了修补。

但在 2021 年 6 月 21 日,微软更改了分类,因为发现该漏洞允许远程代码执行 (RCE),并将其重新分类为严重。

然后,6 月 27 日,来自中国网络安全公司 QiAnXin 的研究人员 共享 在 Twitter 上的视频/GIF 演示了利用该漏洞实现 RCE。

两天后,深信服科技的研究人员发表了 迅速删除 技术细节和 CVE-2021-1675 的 PoC 漏洞利用,但不是在他们放置它的 GitHub 存储库被克隆/分叉之前。

现在怎么办?

CVE-2021-1675 影响各种版本的 Windows Server(2004、2008、2008 R2、2012、2012 R2、2016、2019、20H2)和 Windows(7、8.1、RT 8.1、10)。

视窗 Print Spooler 是一个应用程序/接口/服务,它与本地或网络打印机交互并管理打印过程。

它是一个旧的 Windows 组件(20 多年)和研究人员 错误 经常在里面。有时,威胁行为者也会这样做:臭名昭著的 Stuxnet 恶意软件背后的攻击者会利用 Windows Print Spooler 服务中的“低级”权限提升漏洞等漏洞。

针对 CVE-2021-1675 的复制和修改的 PoC 漏洞将很快广泛可用。事实上,fork 和具体的实现已经可以在网上找到了。因此,对于那些尚未实施可用补丁的组织来说,时间至关重要。

更新(太平洋时间 2021 年 6 月 30 日上午 08:25):

显然,本月早些时候发布的 CVE-2021-1675 补丁可能不足以阻止可用的零日 PoC(“PrintNightmare”):

完全修补的 Windows 2019 域控制器,从普通域用户的帐户中弹出 0day 漏洞 (CVE-2021-1675),提供完整的系统权限。在不需要它的服务器上禁用“Print Spooler”服务。 pic.twitter.com/6SUVQYy5Tl

— Hacker Fantastic (@hackerfantastic) 2021 年 6 月 30 日

在微软消除混乱并发布另一个补丁之前,在不需要它的机器上禁用“Print Spooler”服务是一个好主意。

这是非常重要的!

如果您启用了“Print Spooler”服务(这是默认设置),任何经过远程身份验证的用户都可以在域控制器上以 SYSTEM 身份执行代码。

立即停止并禁用任何 DC 上的服务! //t.co/hl0NItsrBF pic.twitter.com/s4yE2VVl5I

— Will Dormann (@wdormann) 2021 年 6 月 30 日

更新(太平洋时间 2021 年 7 月 2 日上午 11:35):

微软为这个所谓的 PrintNightmare 漏洞分配了一个新的 CVE:CVE-2021-34527。

“当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户,”Microsoft 解释.

“域控制器受到影响。我们仍在调查其他类型的角色是否也受到影响。此漏洞与分配为 CVE-2021-1675 的漏洞相似但不同,后者解决了 RpcAddPrinterDriverEx() 中的不同漏洞。攻击向量也不同。 CVE-2021-1675 已在 2021 年 6 月的安全更新中得到解决。”

在我们等待补丁期间,Microsoft 提供了以下解决方法来降低漏洞利用风险:禁用 Print Spooler 服务或通过组策略禁用入站远程打印。

更新(太平洋时间 2021 年 7 月 9 日上午 1:20):

微软 已针对 CVE-2021-34527 发布了带外修复程序,首先针对某些版本,然后针对所有受支持的 Windows 和 Windows Server 版本,以及 建议 实施安全更新后要采取的其他步骤,以确保系统安全。有过 报告 可以绕过安全更新,但 Microsoft 说过 他们的调查“表明 OOB 安全更新按设计运行,并且对已知的打印机假脱机攻击和其他统称为 PrintNightmare 的公共报告有效。”




分享这个