严重的后台打印程序漏洞允许攻击者攻击任何版本的Microsoft Windows

该公司已修补了网络中的一个安全漏洞Windows后台打印程序服务这会影响所有受支持的Windows版本，如果被攻击，攻击者可以通过简单的机制接管设备。

“关键”缺陷(CVE-2016-3238)实际上存在于Windows处理打印机驱动程序安装的方式以及最终用户连接打印机的方式中。

该漏洞可能允许攻击者在受害者机器上远程安装恶意软件，该软件可用于查看、修改或删除数据，或创建具有完全用户权限的新帐户；微软在周二发布的MS16-087公告中说。

以较少的系统用户权限登录的用户受到的影响小于以管理用户权限操作的用户，例如一些家庭帐户和服务器用户。

微软表示，如果攻击者可以对系统或打印服务器进行中间人（MiTM）攻击，或者在目标网络上设置恶意打印服务器，则可以利用该关键漏洞远程执行代码。

安全公司Vectra Networks的研究人员发现并报告了这一关键漏洞，他们披露了该漏洞的一些细节，但没有公布他们的概念验证（POC）代码。

你可以观看显示黑客行为的视频：

在企业网络中，默认情况下，网络管理员允许打印机向连接到网络的工作站或系统提供必要的驱动程序。这些驱动程序在没有用户交互的情况下以静默方式安装，并以系统用户的完全权限运行。

据研究人员称，攻击者可以用恶意文件替换打印机上的这些驱动程序，这些文件可以让他们执行自己选择的代码。

更令人担忧的是：如果打印机位于防火墙后面，攻击者甚至可以侵入该特定网络上的其他设备或计算机，然后使用它来托管恶意文件。

通过打印机进行的水坑攻击

与服务器一样，多台计算机也连接到打印机，以便打印文档和下载驱动程序。因此，该漏洞允许黑客在技术上使用打印机执行水坑攻击。

通过向企业和组织感染恶意软件以获取网络访问权限，可以使用“水坑攻击”或“驾车下载”来攻击企业和组织。

Vectra首席安全官冈特·奥尔曼（Gunter Ollmann）说：“攻击者可以有效地将一台打印机变成一个水坑，感染每一台接触它的Windows设备，而不是单独感染用户”。

任何连接打印机共享的人都会下载恶意驱动程序，这将攻击向量从物理设备移动到能够托管虚拟打印机图像的网络上的任何设备。

这个缺陷(CVE-2016-3238)是今年迄今为止最危险的漏洞，易于执行，提供了不同的攻击方式，影响了大量用户。

MS16-087 bulletin中的第二个相关漏洞CVE-2016-3239是一个权限提升漏洞，可能允许攻击者写入文件系统。

Microsoft Office的安全公告MS16-088包含七个远程代码执行（RCE）漏洞的补丁，其中六个是内存损坏漏洞，影响Microsoft Office、SharePoint Server以及Office Web应用。

精心编制的Office文件可以利用这些漏洞，使攻击者能够以与登录用户相同的权限运行任意代码。

公告MS16-084解决了Internet Explorer和Microsoft Edge中的MS16-085缺陷。IE漏洞包括RCE、权限提升、信息泄露和安全漏洞。

边缘缺陷包括Chakra JavaScript引擎中的少数RCE和内存损坏缺陷，以及ASLR旁路、信息泄露、浏览器内存损坏和欺骗漏洞。

公告MS16-086解决了Windows中JScript和VBScript引擎中的一个漏洞，该漏洞可能允许攻击者执行远程代码执行漏洞，从而影响VBScript 5.7和JScript 5.8。

其余五个公告被评为Windows安全内核模式、Windows内核模式驱动程序和。NET框架、Windows内核和安全引导过程。

建议用户尽快修补其系统和软件。