7月14日消息,據(jù)美國(guó)知名科技博客媒體Ars Technica報(bào)道,過(guò)去20多年間,微軟Windows漏洞為黑客提供了諸多便利,包括允許他們?cè)谶x定的電腦上秘密安裝惡意軟件,這些電腦通常與局域網(wǎng)中的誘殺打印機(jī)或其他偽裝成打印機(jī)的裝置相連。在最近發(fā)布的補(bǔ)丁中,微軟終于修復(fù)了這個(gè)漏洞。
這個(gè)漏洞存在于Windows Print Spooler中,它負(fù)責(zé)管理連接可用打印機(jī)的過(guò)程和打印文件。Point-and-Print協(xié)議允許首次連接網(wǎng)絡(luò)托管打印機(jī)的人在使用之前立即自動(dòng)下載必要的驅(qū)動(dòng)程序。通過(guò)存儲(chǔ)在打印機(jī)或打印服務(wù)器上的共享驅(qū)動(dòng)程序工作,消除了用戶必須手動(dòng)下載和安裝的麻煩。
然而安全公司Vectra Networks的研究人員發(fā)現(xiàn),當(dāng)遠(yuǎn)程安裝打印驅(qū)動(dòng)程序時(shí),Windows Print Spooler無(wú)法正確驗(yàn)證。這個(gè)漏洞可以讓黑客使用不同的技術(shù)傳送經(jīng)過(guò)惡意修改的驅(qū)動(dòng)程序,而非打印機(jī)制造商提供的合法驅(qū)動(dòng)程序。黑客可利用它將打印機(jī)、打印機(jī)驅(qū)動(dòng)程序或任何偽裝成打印機(jī)的聯(lián)網(wǎng)裝置變成內(nèi)置驅(qū)動(dòng)工具包,無(wú)論何時(shí)連接它們,設(shè)備都將被感染。
Vectra Networks的研究員尼克·博謝納(Nick Beauchesne)在其博客上詳細(xì)描述了這個(gè)漏洞,他寫道:“這些惡意軟件不僅可感染網(wǎng)絡(luò)中的多臺(tái)機(jī)器,還能重復(fù)感染。尋找根本原因可能很難,因?yàn)榇蛴C(jī)本身可能并非常見的懷疑對(duì)象。我們最終將驅(qū)動(dòng)程序的安全責(zé)任交給打印機(jī),但這些設(shè)備可能并非像我們希望的那樣安全或堅(jiān)不可摧?!?/p>
安全公司Special Circumstances的首席安全專家摩爾(HD Moore)表示,黑客有各種各樣利用漏洞的方法。一種方法就是連接筆記本電腦或其他便攜設(shè)備偽裝成網(wǎng)絡(luò)打印機(jī)。當(dāng)同一個(gè)網(wǎng)絡(luò)中的用戶連接時(shí),設(shè)備就可以自動(dòng)發(fā)送惡意驅(qū)動(dòng)程序。另一種方法是監(jiān)控合法網(wǎng)絡(luò)打印機(jī)的流量設(shè)置,等待受害者自己添加打印機(jī)到其系統(tǒng)中。黑客可以劫持打印機(jī)驅(qū)動(dòng)程序的請(qǐng)求,以惡意驅(qū)動(dòng)程序回應(yīng)。摩爾說(shuō):“這種中間人式攻擊可通過(guò)開放的Wi-Fi網(wǎng)絡(luò)或利用ARP騙過(guò)有線網(wǎng)絡(luò)進(jìn)行?!?/p>
黑客還可以對(duì)打印機(jī)進(jìn)行“逆向工程”,修改其固件,以便于傳送經(jīng)過(guò)惡意修改的驅(qū)動(dòng)程序。盡管這種方法十分難,但Vectra的研究人員卻進(jìn)行了成功試驗(yàn)。Point-and-Print協(xié)議中的另一個(gè)漏洞也可能讓不受信任的用戶提高賬戶權(quán)限,甚至提升至管理員狀態(tài)。
Vectra Networks的研究人員嘗試攻擊組合設(shè)備,包括身份不明的打印機(jī)和運(yùn)行Windows XP(32位)、Windows 7(32位)、Windows 7(64位)、 Windows 2008 R2 AD 64、Ubuntu CUPS以及Windows 2008 R2 64打印服務(wù)器的電腦。他們發(fā)現(xiàn),這個(gè)漏洞可追溯到Windows 95。
對(duì)于那些關(guān)心這個(gè)漏洞的用戶,摩爾表示,微軟的最新更新并未關(guān)閉代碼執(zhí)行孔,只是增加了警告。但是鑒于大多數(shù)用戶可能不會(huì)對(duì)這個(gè)警告做出回應(yīng),因此其似乎并非有效方式。
令人感到欣慰的是,代碼執(zhí)行攻擊對(duì)企業(yè)設(shè)置效果不大,但是對(duì)家庭、中小企業(yè)的攻擊可能有效,特別是那些允許人們連接他們自己設(shè)備的中小企業(yè)。摩爾說(shuō):“對(duì)于擁有BYOD筆記本電腦的公司來(lái)說(shuō),風(fēng)險(xiǎn)可能更高。這些公司在公共網(wǎng)絡(luò)、企業(yè)網(wǎng)絡(luò)上允許使用個(gè)人筆記本電腦。說(shuō)服人們添加打印機(jī)可能很難,但可能有其他網(wǎng)絡(luò)攻擊方式趨勢(shì)人們這樣做,比如劫持HTTP請(qǐng)求,敦促用戶去執(zhí)行等?!?/p>