安全公司意外曝光Windows遠程代碼執行漏洞

近日，某網絡安全公司意外發布了一個針對關鍵Windows后臺打印處理程序漏洞的概念驗證漏洞，惡意用戶可以利用該漏洞來破壞Active Directory域控制器。

事情起因有些復雜，6月8日的，微軟發布了針對CVE-2021-1675的修復程序，該漏洞被標記為提權漏洞。普通用戶可以利用此漏洞以管理員身份在運行打印后臺處理程序服務的系統上執行代碼。然后在6月21日，沒有任何解釋，微軟將該分類升級為更嚴重的遠程代碼執行漏洞。

一組安全研究人員在看到該漏洞的嚴重性已升級后，決定發布針對打印假脫機服務中遠程代碼執行漏洞的概念驗證漏洞，大概認為它現在已被修補。但是他們發布的漏洞利用代碼針對的是一個與CVE-2021-1675類似但不完全相同的漏洞，結果這個漏洞被不法分子用來實施網絡攻擊。這個未修補的漏洞被稱為PrintNightmare，可能需要微軟單獨更新才能完全解決它。

PrintNightmare可能會被惡意用戶利用，通過在遠程域控制器上運行的易受攻擊的Windows Print Spooler服務在系統級別執行代碼。與CVE-2021-1675一樣，PrintNightmare可能不僅僅影響域控制器。雖然任何運行易受攻擊的打印后臺處理程序服務的Windows安裝都可能存在風險，但域控制器是一個更有價值的攻擊目標。

安全專家Matthew Hickey指出：“在我看來，這是今年Windows企業系統發生的最重大事件，人們需要優先禁用域控制器和關鍵任務服務器上的打印后臺處理程序服務，以防止漏洞被利用。”