研究人员利用PoC漏洞攻击Windows RCE的一个关键漏洞

本月早些时候，一个与影响Windows打印后台处理程序的远程代码执行漏洞相关的概念验证（PoC）漏洞被微软修补，该漏洞在被取下之前在网上短暂发布。

被识别为CVE-2021-1675的安全问题可能会让远程攻击者完全控制易受攻击的系统。后台打印程序在Windows中管理打印过程，包括加载适当的打印机驱动程序和安排打印作业等。

打印后台处理程序的缺陷令人担忧，这不仅是因为它的攻击面很广，还因为它以最高权限级别运行，并且能够动态加载第三方二进制文件。

Windows制造商解决漏洞作为2021年6月8日补丁星期二更新的一部分。但几乎两周后，微软修改了该漏洞的影响，将权限提升为远程代码执行（RCE），并将严重性级别从重要升级为关键。

“要么攻击者通过本地（如键盘、控制台）或远程（如SSH）访问目标系统来利用该漏洞；要么攻击者依靠他人的用户交互来执行攻击该漏洞所需的操作（如诱骗合法用户打开恶意文档），”微软在其声明中说顾问的

本周早些时候，当中国安全公司千信（QiAnXin）披露能够找到利用该漏洞的“正确方法”时，情况发生了转变，从而证明了成功利用该漏洞实现RCE。

尽管研究人员没有透露更多技术细节，但总部位于香港的网络安全公司Sangfor发布了GitHub同一漏洞的独立深入研究，以及一个完全可用的PoC代码，在几小时后离线之前，该代码仍然可以公开访问。

Sangfor将该漏洞命名为“打印噩梦”

“我们删除了Print噩梦的PoC。为了缓解此漏洞，请将Windows更新到最新版本，或禁用后台处理服务，”Sangfor首席安全研究员彭志娘在推特上写道。研究结果预计将在下个月的美国黑帽大会上公布。

Windows后台打印程序长期以来一直是安全漏洞的来源，微软至少解决了三个问题—；CVE-2020-1048、CVE-2020-1300和CVE-2020-1337—；仅在过去的一年里。值得注意的是，该服务中的一个漏洞也被滥用，以获得远程访问，并在2010年传播针对伊朗核设施的Stuxnet蠕虫。

使现代化—据CERT协调中心称，目前有迹象表明，微软6月份发布的针对Windows打印后台处理程序服务中关键远程代码执行漏洞的修复程序并没有完全修复该漏洞的根本原因，这增加了零天缺陷需要修补的可能性。

CERT/CC的威尔·多尔曼在周三发布的一份漏洞说明中说：“虽然微软发布了CVE-2021-1675的更新，但重要的是要认识到，该更新并没有解决同样被识别为CVE-2021-1675的公开攻击。”。

值得注意的是，成功利用CVE-2021-1675可能为远程对手完成系统接管打开大门。我们已经联系微软征求意见，我们将在收到回复后更新报道。

根据最新披露，美国网络安全和基础设施安全局（CISA）建议管理员“在不打印的域控制器和系统中禁用Windows后台打印程序服务”