一個在微軟活了 20 年的漏洞,最近終於被修復

作者 | 發布日期 2016 年 07 月 15 日 13:43 | 分類 Microsoft , 網通設備 , 資訊安全 follow us in feedly
雷鋒網 配圖

據美國科技部落格媒體 Ars Technica 報導,微軟最近已修復存在了 20 年的漏洞,該漏洞在印表機連接和文檔列印的 Windows Print Spooler 中。20 年間,駭客可透過漏洞在人們電腦上偷偷安裝惡意軟體。




Windows Print Spooler 利用 Point-and-Print 協定允許首次連接網路託管印表機的管理員在使用之前自動下載必要的驅動程式,其中驅動儲存在印表機或印表機伺服器上。但有安全研究人員發現,當遠端安裝列印驅動程式時,Windows Print Spooler 不能正確驗證遠端下載的印表機驅動,導致駭客可進入其中惡意修改驅動程式。這個漏洞能將印表機、印表機驅動程式或任何偽裝成印表機的聯網裝置變成內建驅動工具包,只要一連接,裝置都將被感染。

研究員尼克‧博謝納(Nick Beauchesne)對該漏洞仔細研究後描述,「這些惡意軟體不僅可感染網路中的多台機器,還能重複感染。因為沒有人會懷疑印表機,所以讓它存在了 20 年。然而從目前來看,這些設備並沒有我們想的那麼安全。」

與此同時,知名安全專家摩爾(HD Moore)表示:

駭客一般透過兩種手段操控印表機驅動設備上漏洞:一是連接筆記型電腦或其他可攜式裝置,將其偽裝成網路印表機,當使用者連接時,設備就會自動發送惡意驅動程式。另一種方法是監控合法網路印表機的流量設置,等待受害者自己添加印表機到它的系統中。駭客可劫持印表機驅動程式的請求,以惡意驅動程式回應。這種攻擊可透過開放的 Wi-Fi 網路或利用 ARP 騙過有線網路進行。

雷鋒網 配圖

專業人士猜測,駭客還可以對印表機進行「逆向工程」,修改關聯韌體,以便傳送惡意驅動程式。為了驗證這個方法,Vectra 研究人員進行相關測驗,證明逆向工程的可行性。Vectra Networks 研究人員嘗試攻擊組合設備,包括身分不明的印表機和運行 Windows XP(32 位元)、Windows 7(32 位元)、Windows 7(64 位元)、Windows 2008 R2 AD 64、Ubuntu CUPS 以及 Windows 2008 R2 64 印表伺服器的電腦。最終他們驚奇的發現,這個漏洞可追溯到 Windows 95。

(本文由 雷鋒網 授權轉載) 

發表迴響