Stuxnet的遗产在新的Windows漏洞中继续存在

2020-05-14 21:58:23

微软每个月都会发布针对各种漏洞的补丁,有些相当严重,有些则不太严重。但是,很少有补丁星期二为一个漏洞提供补丁,该漏洞具有昨天披露的Windows打印假脱机程序中的漏洞的历史、知识和易利性。

该漏洞(CVE-2020-1048)并不是深埋在Windows内部的超级复杂的远程代码执行漏洞,而是一个谦逊的权限提升漏洞,位于一个多年来没有引起研究人员太多关注的地方。至少不是公开的。该漏洞影响许多最新版本的Windows,包括Windows Server 2008、2012、2016和2019,以及Windows 7、8.1和10。

“当Windows打印假脱机程序服务不正确地允许任意写入文件系统时,存在权限提升漏洞。成功利用此漏洞的攻击者可以使用提升的系统权限运行任意代码。然后攻击者就可以安装程序;查看、更改或删除数据;或者创建具有完全用户权限的新帐户。

Windows后台打印程序是操作系统中管理打印进程的服务。这项服务在Windows中已经存在了相当长的一段时间,这些年来并没有太大的发展。它处理查找和加载打印驱动程序、创建打印作业,然后最终打印它们的后端功能。这类服务通常不会引起研究人员或攻击者的太多关注,但大约十年前,至少有一个团队花了相当长的时间来研究它:Stuxnet团队。

Stuxnet蠕虫在2010年攻击了伊朗的几个核设施,后来传播到世界各地许多网络的Windows PC上,利用后台打印程序服务中的类似漏洞进行攻击。在Stuxnet被发现时,该漏洞是一个零日,是该蠕虫在其感染例程中使用的至少四个以前未知的漏洞之一。Stuxnet是一个史无前例的发现,它包含了对SCADA和工业控制系统以及Windows的攻击,即使在它出现10年后,它也被认为是有史以来开发的最复杂的恶意软件之一。

Stuxnet利用的打印假脱机程序漏洞(CVE-2010-2729)的描述与微软本周修补的漏洞惊人地相似,但一个值得注意的例外是,2010年的错误可能导致在Windows XP计算机上远程执行代码。

“Windows后台打印程序服务中存在远程代码执行漏洞,使得未经验证的远程攻击者能够在受影响的Windows XP系统上执行任意代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。然后攻击者可以安装程序;查看、更改或删除数据;或者创建新帐户,“针对旧漏洞的公告说。

虽然Stuxnet打印假脱机程序漏洞是在蠕虫造成破坏后才发现的,但较新的漏洞是由SafeBreach的研究人员发现的,他们向微软报告了这一漏洞。这个新的漏洞引起了其他研究人员的注意,他们发现它不仅与Stuxnet漏洞有关,而且很容易被利用。Windows咨询和培训公司Winsider的亚登·沙菲尔(Yarden Shafir)和亚历克斯·约内斯库(Alex Ionescu)对该漏洞所做的详细分析显示,利用该漏洞并在易受攻击的系统上安装永久后门只需一行PowerShell即可。

Shafir和Ionescu说:“具有讽刺意味的是,打印假脱机程序仍然是最古老的Windows组件之一,仍然没有得到太多的审查,尽管它在很大程度上自Windows NT 4以来没有改变,甚至被Stuxnet滥用的情况广为人知,”Shafir和Ionescu说。

“这个漏洞可能是我们在Windows史上最喜欢的漏洞之一,或者至少是我们最喜欢的5个漏洞之一,因为它的简单和陈旧-在Windows的原始版本中完全崩溃了,在Stuxnet…之后变得更加强大。但仍然是破碎的。“。

两人还表示,他们已经在同一区域发现并披露了一些尚未修补的其他漏洞,“所以肯定还有一些龙在躲藏。”