今年6月8日,微軟在安全更新中修復了一個長時間存在的印表機服務Windows Print Spooler本地提權漏洞,漏洞編號為:CVE-2021-1675,普通使用者可以利用此漏洞以管理員身份在執行列印後臺處理程式服務的系統上執行程式碼。
然而近日安全人員對此安全更新進行驗證時,發現了另外一個更為嚴重的遠端攻擊漏洞,攻擊者可以使用一個低許可權使用者(包括匿名共享guest賬戶),對本地網路中的電腦發起攻擊,控制存在漏洞的電腦。尤其在企業內部,在域控環境中,普通域使用者,可以透過該服務,攻擊域控伺服器,從而控制整個網路。該漏洞廣泛的存在於各Windows版本中,利用複雜度低,所以該漏洞的利用價值極高。
目前最新EXP已擴散,經過360CERT驗證,該EXP可以繞過微軟六月針對CVE-2021-1675漏洞的最新修補程式。這個未修補的漏洞被稱為PrintNightmare,微軟已確認並分配了漏洞編號CVE-2021-34527 ,尚未提供針對新漏洞的更新補丁。
經360漏洞研究院分析,這兩個漏洞的利用方法類似,都是利用特殊引數來繞過身份校驗,進而透過高許可權身份實現攻擊檔案的投遞和執行。基於這個分析成果,360安全大腦漏洞防護第一時間支援了該漏洞的攻擊攔截,並且在360安全衛士、 Win7 盾甲等產品裡新增了針對該漏洞的微補丁免疫,使系統在未安裝補丁或無法連線網際網路時,也能有效防禦該型別的攻擊。
與此同時,廣大使用者也可以透過關閉Print Spooler服務來緩解該問題。值得注意的是,如若關閉Print Spooler服務,將會影響列印功能的正常使用。
除此之外,360安全衛士團隊還針對使用者安全,給出如下安全建議:
1. 使用者在下載安裝軟體時,可優先透過軟體官網、360軟體管家查詢安裝,以此來避免在不正規下載站下載後導致的惡意捆綁和故障;
2. 提高安全意識,不隨意開啟陌生人發來的各種檔案,如需開啟務必驗證檔案字尾是否與檔名符合;
3. 對於來路不明的電子郵件,提高警惕,不要輕易點選開啟其中包含的任何連結、附件;
4. 可疑文件勿啟用宏程式碼,如開啟過程發現任何警告資訊,及時阻止,不要點選忽略或允許。
作為累計服務13億使用者的國民級PC安全產品,360安全衛士上線十五年來一直致力於為使用者提供全方位的安全守護。目前,360安全衛士形成了集合木馬查殺、漏洞修復、隱私保護、勒索解密等多重功能於一體的安全解決方案。未來,360安全衛士將繼續深耕安全技術,為使用者提供更加及時、更具針對性的安全守護。