微软本周二修复了一个“震网”级别的资深漏洞

每月的“补丁星期二”，微软都会例行发布针对各种漏洞的补丁程序，但是本周二微软发布的一大堆补丁中，其中一些修复了一个“震网”级别的资深漏洞——一个易于利用的Windows打印机后台程序——Windows Print Spooler的漏洞（CVE-2020-1048），安全公司SafeBreach的研究人员发现了这个“新”漏洞，该漏洞已于昨天微软发布补丁后被披露。

该漏洞并不属于“潜伏”在Windows内部的超级复杂的远程代码执行错误，而是一种“谦逊”的提权漏洞，过去没有引起研究人员的过多关注。根据已经披露的信息，该漏洞会影响Windows的许多最新版本，包括Windows Server 2008、2012、2016和2019以及Windows 7、8.1和10。

据微软安全顾问的介绍：

当Windows Print Spooler服务配置错误允许对文件系统的任意写入时，存在特权提升漏洞。成功利用此漏洞的攻击者可以以提升的系统特权运行任意代码。然后，攻击者可能会安装程序，查看、更改或删除数据；或创建具有完全用户权限的新账户。

Windows打印后台处理程序是操作系统中管理打印过程的服务。该服务已经在Windows中存在了很长时间，并且多年来没有太大变化。该程序处理查找和加载打印驱动程序，创建打印作业，然后最终执行打印的后端功能。通常，这种服务类型不会引起研究人员或攻击者的广泛关注，但是大约十年前，至少有一个团队花费了大量时间对其进行深入研究——Stuxnet（震网）团队。

Stuxnet震网蠕虫在2010年袭击了伊朗的几处核设施，后来又利用与本周披露的Windows print spooler服务漏洞类似的漏洞传播到了全球许多网络的Windows电脑中。该漏洞也是Stuxnet首次曝光的四个零日漏洞之一。

Stuxnet是一个史无前例的恶意软件，其中包含针对SCADA、工业控制系统以及Windows的漏洞利用攻击。甚至10年后的今天，Stuxnet仍被认为是有史以来最复杂的恶意软件之一。

Stuxnet利用的打印后台处理程序漏洞（CVE-2010-2729）的描述与Microsoft本周修复的漏洞极为相似，但有一个明显的区别，Stuxnet利用的漏洞可实现Windows XP计算机上的远程代码执行。

据发现漏洞的SafeBreach的研究人员介绍，这个新漏洞也引起了其他研究人员的注意，他们发现该漏洞不仅与Stuxnet错误有关，而且易于利用。根据Windows咨询和培训公司Winsider的Yarden Shafir和Alex Ionescu所做的详细分析，只需一行PowerShell即可利用此漏洞并在易受攻击的系统上安装持久后门。

Shafir和Ionescu说：

具有讽刺意味的是，后台打印程序仍然是最古老的Windows组件之一，自Windows NT 4以来它基本上没有任何变化，但仍受到很多关注，甚至被著名的Stuxnet滥用。

由于它的简单性和年代久远，该打印服务可能是Windows历史上最“受欢迎”的脆弱点之一，至少能排名前五，Stuxnet之后该服务得到了强化，但显然依然不堪一击。

SafeBreach安全研究人员透露，他们还发现并披露了其他一些尚未修复的错误，“因此肯定还有一些巨龙藏在水下。”