每月的“补丁星期二”,微软都会例行发布针对各种漏洞的补丁程序,但是本周二微软发布的一大堆补丁中,其中一些修复了一个“震网”级别的资深漏洞——一个易于利用的Windows打印机后台程序——Windows Print Spooler的漏洞(CVE-2020-1048),安全公司SafeBreach的研究人员发现了这个“新”漏洞,该漏洞已于昨天微软发布补丁后被披露。
该漏洞并不属于“潜伏”在Windows内部的超级复杂的远程代码执行错误,而是一种“谦逊”的提权漏洞,过去没有引起研究人员的过多关注。根据已经披露的信息,该漏洞会影响Windows的许多最新版本,包括Windows Server 2008、2012、2016和2019以及Windows 7、8.1和10。
据微软安全顾问的介绍:
当Windows Print Spooler服务配置错误允许对文件系统的任意写入时,存在特权提升漏洞。成功利用此漏洞的攻击者可以以提升的系统特权运行任意代码。然后,攻击者可能会安装程序,查看、更改或删除数据;或创建具有完全用户权限的新账户。
Windows打印后台处理程序是操作系统中管理打印过程的服务。该服务已经在Windows中存在了很长时间,并且多年来没有太大变化。该程序处理查找和加载打印驱动程序,创建打印作业,然后最终执行打印的后端功能。通常,这种服务类型不会引起研究人员或攻击者的广泛关注,但是大约十年前,至少有一个团队花费了大量时间对其进行深入研究——Stuxnet(震网)团队。
Stuxnet震网蠕虫在2010年袭击了伊朗的几处核设施,后来又利用与本周披露的Windows print spooler服务漏洞类似的漏洞传播到了全球许多网络的Windows电脑中。该漏洞也是Stuxnet首次曝光的四个零日漏洞之一。
Stuxnet是一个史无前例的恶意软件,其中包含针对SCADA、工业控制系统以及Windows的漏洞利用攻击。甚至10年后的今天,Stuxnet仍被认为是有史以来最复杂的恶意软件之一。
Stuxnet利用的打印后台处理程序漏洞(CVE-2010-2729)的描述与Microsoft本周修复的漏洞极为相似,但有一个明显的区别,Stuxnet利用的漏洞可实现Windows XP计算机上的远程代码执行。
据发现漏洞的SafeBreach的研究人员介绍,这个新漏洞也引起了其他研究人员的注意,他们发现该漏洞不仅与Stuxnet错误有关,而且易于利用。根据Windows咨询和培训公司Winsider的Yarden Shafir和Alex Ionescu所做的详细分析,只需一行PowerShell即可利用此漏洞并在易受攻击的系统上安装持久后门。
Shafir和Ionescu说:
具有讽刺意味的是,后台打印程序仍然是最古老的Windows组件之一,自Windows NT 4以来它基本上没有任何变化,但仍受到很多关注,甚至被著名的Stuxnet滥用。
由于它的简单性和年代久远,该打印服务可能是Windows历史上最“受欢迎”的脆弱点之一,至少能排名前五,Stuxnet之后该服务得到了强化,但显然依然不堪一击。
SafeBreach安全研究人员透露,他们还发现并披露了其他一些尚未修复的错误,“因此肯定还有一些巨龙藏在水下。”