微軟最近推出了每月的安全補丁,其中一個修復程序針對了20年的安全缺陷。
所討論的安全責任使惡意用戶可以偷偷安裝其選擇的惡意軟件,以連接到欺騙打印機的計算機或偽裝成打印機的設備。
Vectra Networks的安全專家發現,該問題位於Windows Print Spooler中,這是負責連接到可用打印機的Windows的一部分。
Windows Print Spooler的問題在於,當用戶使用遠程位置安裝驅動程序時,它缺乏適當的身份驗證來更新打印驅動程序。這使攻擊者可以應用各種方法來發送惡意修改的驅動程序,而不是無害的原始打印機驅動程序。
使用漏洞利用,所有打印機,打印機服務器或任何可以假裝為打印機的網絡連接的設備可以在連接到網絡後立即感染其他機器。
Vectra的研究人員尼克·博切斯內(Nick Beauchesne)在博客文章中解釋了漏洞。
“ [感染的設備]還可以一遍又一遍地重新感染[網絡中的多台機器]” Beauchesne筆記。
他補充說,大多數人不認為他們的打印機是安全威脅,這可能使他們很難將其視為問題的根源。更重要的是,打印機遠非安全設備,“將駕駛員安全地授權到打印機的責任”使用戶面臨他們不知道的風險。
特殊情況的安全專家HD Moore與ARS Technica討論瞭如何執行可能的漏洞。
例如,黑客可以連接一個錯誤地將自己標識為網絡打印機的筆記本電腦或移動設備。當使用該網絡連接到它時,可以操縱該設備以交付誘捕的驅動器。
使用安全漏洞的另一種方法是篡改其固件,實際上對打印機進行編程以發送驅動器,該驅動器在黑客的遺囑後修改。這種方法似乎太複雜了,但是它是由Vectra的研究人員進行了有效測試的。
涉及點標協議的另一個錯誤允許網絡上的不受信任的用戶從訪客到系統管理員的帳戶特權。
Vectra研究人員報告說,他們對多個OSS進行了測試,例如Windows XP和Windows 7(32位版本),Windows 7 64位,Windows 2008 R2 AD 64,Ubuntu Cups和Windows 2008 R2 64 Print Server。
通過最近的補丁,Microsoft發布了一項諮詢,將代碼執行漏洞符合所有Windows版本至關重要。根據Vectra的說法,可以將安全缺陷跟踪與Windows 95一樣古老。
請記住,Microsoft的修復並不能專門阻止執行代碼的執行,而只是為最終用戶添加了警告。
“知道大多數用戶對警告的反應如何,這似乎不是一種有效的方法,”摩爾肯定。
好消息是,如果您在使用Microsoft的Active Directory的企業環境中工作,並且擁有一個有能力的IT團隊,那麼您就可以安全。這是因為當Active Directory的默認設置處於活動狀態時,代碼執行攻擊將根本無法運行。
但是,該黑客可能會影響家庭用戶或中小型企業,尤其是那些人們將自己的設備連接到工作網絡的人是合理的。
微軟是重視第三方安全方投入的公司之一。今年4月,該公司向一名安全顧問授予了13,000美元揭開一個關鍵的身份驗證缺陷。
