据外媒,近日安全研究人员发现了一个新的0-day漏洞和概念验证代码,证明了Windows 10 Print Spool中的一个漏洞可用于远程代码执行攻击。微软现已发布一个带外修复程序,而网络安全和基础设施安全局CISA已经命令政府机构加急打上该补丁。
CISA将PrintNightmare漏洞描述为关键漏洞,因为它可以远程执行代码。CERT协调中心表示问题的发生是因为Windows Print Spooler服务没有限制对RpcAddPrinterDriverEx()函数的访问,这意味着经过远程验证的攻击者可以利用它来运行任意代码。这种任意代码的执行是在SYSTEM的伪装下进行的。
根据概念证明代码显示,黑客只需要一些(甚至是低权限)的网络凭证就可以利用该漏洞进行远程执行,而且这些凭证在暗网上只需要3美元就能买到。这意味着企业网络又极易受到(尤其是勒索软件)的攻击。
