7月14日消息��,據(jù)美國(guó)知名科技博客媒體Ars
Technica報(bào)道���,過(guò)去20多年間�,微軟Windows漏洞為黑客提供了諸多便利��,包括允許他們?cè)谶x定的電腦上秘密安裝惡意軟件����,這些電腦通常與局域網(wǎng)中的誘殺打印機(jī)或其他偽裝成打印機(jī)的裝置相連。在最近發(fā)布的補(bǔ)丁中���,微軟終于修復(fù)了這個(gè)漏洞��。
這個(gè)漏洞存在于Windows Print
Spooler中���,它負(fù)責(zé)管理連接可用打印機(jī)的過(guò)程和打印文件。Point-and-Print協(xié)議允許首次連接網(wǎng)絡(luò)托管打印機(jī)的人在使用之前立即自動(dòng)下載必要的驅(qū)動(dòng)程序。通過(guò)存儲(chǔ)在打印機(jī)或打印服務(wù)器上的共享驅(qū)動(dòng)程序工作��,消除了用戶必須手動(dòng)下載和安裝的麻煩��。
然而安全公司Vectra Networks的研究人員發(fā)現(xiàn)���,當(dāng)遠(yuǎn)程安裝打印驅(qū)動(dòng)程序時(shí)����,Windows Print
Spooler無(wú)法正確驗(yàn)證����。這個(gè)漏洞可以讓黑客使用不同的技術(shù)傳送經(jīng)過(guò)惡意修改的驅(qū)動(dòng)程序,而非打印機(jī)制造商提供的合法驅(qū)動(dòng)程序��。黑客可利用它將打印機(jī)�����、打印機(jī)驅(qū)動(dòng)程序或任何偽裝成打印機(jī)的聯(lián)網(wǎng)裝置變成內(nèi)置驅(qū)動(dòng)工具包�,無(wú)論何時(shí)連接它們���,設(shè)備都將被感染���。
Vectra Networks的研究員尼克·博謝納(Nick
Beauchesne)在其博客上詳細(xì)描述了這個(gè)漏洞���,他寫道:“這些惡意軟件不僅可感染網(wǎng)絡(luò)中的多臺(tái)機(jī)器,還能重復(fù)感染�。尋找根本原因可能很難,因?yàn)榇蛴C(jī)本身可能并非常見的懷疑對(duì)象�。我們最終將驅(qū)動(dòng)程序的安全責(zé)任交給打印機(jī),但這些設(shè)備可能并非像我們希望的那樣安全或堅(jiān)不可摧��?�!?/p>
安全公司Special Circumstances的首席安全專家摩爾(HD
Moore)表示��,黑客有各種各樣利用漏洞的方法�。一種方法就是連接筆記本電腦或其他便攜設(shè)備偽裝成網(wǎng)絡(luò)打印機(jī)。當(dāng)同一個(gè)網(wǎng)絡(luò)中的用戶連接時(shí)����,設(shè)備就可以自動(dòng)發(fā)送惡意驅(qū)動(dòng)程序。另一種方法是監(jiān)控合法網(wǎng)絡(luò)打印機(jī)的流量設(shè)置��,等待受害者自己添加打印機(jī)到其系統(tǒng)中����。黑客可以劫持打印機(jī)驅(qū)動(dòng)程序的請(qǐng)求�,以惡意驅(qū)動(dòng)程序回應(yīng)�。摩爾說(shuō):“這種中間人式攻擊可通過(guò)開放的Wi-Fi網(wǎng)絡(luò)或利用ARP騙過(guò)有線網(wǎng)絡(luò)進(jìn)行?����!?/p>
黑客還可以對(duì)打印機(jī)進(jìn)行“逆向工程”�,修改其固件,以便于傳送經(jīng)過(guò)惡意修改的驅(qū)動(dòng)程序����。盡管這種方法十分難,但Vectra的研究人員卻進(jìn)行了成功試驗(yàn)���。Point-and-Print協(xié)議中的另一個(gè)漏洞也可能讓不受信任的用戶提高賬戶權(quán)限�,甚至提升至管理員狀態(tài)�。
Vectra Networks的研究人員嘗試攻擊組合設(shè)備,包括身份不明的打印機(jī)和運(yùn)行Windows XP(32位)���、Windows
7(32位)��、Windows 7(64位)�、 Windows 2008 R2 AD 64���、Ubuntu CUPS以及Windows 2008 R2
64打印服務(wù)器的電腦����。他們發(fā)現(xiàn)���,這個(gè)漏洞可追溯到Windows 95����。
對(duì)于那些關(guān)心這個(gè)漏洞的用戶���,摩爾表示���,微軟的最新更新并未關(guān)閉代碼執(zhí)行孔,只是增加了警告���。但是鑒于大多數(shù)用戶可能不會(huì)對(duì)這個(gè)警告做出回應(yīng)�����,因此其似乎并非有效方式���。
令人感到欣慰的是���,代碼執(zhí)行攻擊對(duì)企業(yè)設(shè)置效果不大,但是對(duì)家庭��、中小企業(yè)的攻擊可能有效���,特別是那些允許人們連接他們自己設(shè)備的中小企業(yè)�����。摩爾說(shuō):“對(duì)于擁有BYOD筆記本電腦的公司來(lái)說(shuō)����,風(fēng)險(xiǎn)可能更高����。這些公司在公共網(wǎng)絡(luò)、企業(yè)網(wǎng)絡(luò)上允許使用個(gè)人筆記本電腦���。說(shuō)服人們添加打印機(jī)可能很難�����,但可能有其他網(wǎng)絡(luò)攻擊方式趨勢(shì)人們這樣做����,比如劫持HTTP請(qǐng)求�,敦促用戶去執(zhí)行等?!?/p>
