微軟修復(fù)Win95時(shí)就存在的老漏洞

7月14日消息，據(jù)美國(guó)知名科技博客媒體Ars Technica報(bào)道，過(guò)去20多年間，微軟Windows漏洞為黑客提供了諸多便利，包括允許他們?cè)谶x定的電腦上秘密安裝惡意軟件，這些電腦通常與局域網(wǎng)中的誘殺打印機(jī)或其他偽裝成打印機(jī)的裝置相連。在最近發(fā)布的補(bǔ)丁中，微軟終于修復(fù)了這個(gè)漏洞。

這個(gè)漏洞存在于Windows Print Spooler中，它負(fù)責(zé)管理連接可用打印機(jī)的過(guò)程和打印文件。Point-and-Print協(xié)議允許首次連接網(wǎng)絡(luò)托管打印機(jī)的人在使用之前立即自動(dòng)下載必要的驅(qū)動(dòng)程序。通過(guò)存儲(chǔ)在打印機(jī)或打印服務(wù)器上的共享驅(qū)動(dòng)程序工作，消除了用戶必須手動(dòng)下載和安裝的麻煩。

然而安全公司Vectra Networks的研究人員發(fā)現(xiàn)，當(dāng)遠(yuǎn)程安裝打印驅(qū)動(dòng)程序時(shí)，Windows Print Spooler無(wú)法正確驗(yàn)證。這個(gè)漏洞可以讓黑客使用不同的技術(shù)傳送經(jīng)過(guò)惡意修改的驅(qū)動(dòng)程序，而非打印機(jī)制造商提供的合法驅(qū)動(dòng)程序。黑客可利用它將打印機(jī)、打印機(jī)驅(qū)動(dòng)程序或任何偽裝成打印機(jī)的聯(lián)網(wǎng)裝置變成內(nèi)置驅(qū)動(dòng)工具包，無(wú)論何時(shí)連接它們，設(shè)備都將被感染。

Vectra Networks的研究員尼克·博謝納(Nick Beauchesne)在其博客上詳細(xì)描述了這個(gè)漏洞，他寫道：“這些惡意軟件不僅可感染網(wǎng)絡(luò)中的多臺(tái)機(jī)器，還能重復(fù)感染。尋找根本原因可能很難，因?yàn)榇蛴C(jī)本身可能并非常見的懷疑對(duì)象。我們最終將驅(qū)動(dòng)程序的安全責(zé)任交給打印機(jī)，但這些設(shè)備可能并非像我們希望的那樣安全或堅(jiān)不可摧?！?/p>

安全公司Special Circumstances的首席安全專家摩爾(HD Moore)表示，黑客有各種各樣利用漏洞的方法。一種方法就是連接筆記本電腦或其他便攜設(shè)備偽裝成網(wǎng)絡(luò)打印機(jī)。當(dāng)同一個(gè)網(wǎng)絡(luò)中的用戶連接時(shí)，設(shè)備就可以自動(dòng)發(fā)送惡意驅(qū)動(dòng)程序。另一種方法是監(jiān)控合法網(wǎng)絡(luò)打印機(jī)的流量設(shè)置，等待受害者自己添加打印機(jī)到其系統(tǒng)中。黑客可以劫持打印機(jī)驅(qū)動(dòng)程序的請(qǐng)求，以惡意驅(qū)動(dòng)程序回應(yīng)。摩爾說(shuō)：“這種中間人式攻擊可通過(guò)開放的Wi-Fi網(wǎng)絡(luò)或利用ARP騙過(guò)有線網(wǎng)絡(luò)進(jìn)行?！?/p>

黑客還可以對(duì)打印機(jī)進(jìn)行“逆向工程”，修改其固件，以便于傳送經(jīng)過(guò)惡意修改的驅(qū)動(dòng)程序。盡管這種方法十分難，但Vectra的研究人員卻進(jìn)行了成功試驗(yàn)。Point-and-Print協(xié)議中的另一個(gè)漏洞也可能讓不受信任的用戶提高賬戶權(quán)限，甚至提升至管理員狀態(tài)。

Vectra Networks的研究人員嘗試攻擊組合設(shè)備，包括身份不明的打印機(jī)和運(yùn)行Windows XP(32位)、Windows 7(32位)、Windows 7(64位)、 Windows 2008 R2 AD 64、Ubuntu CUPS以及Windows 2008 R2 64打印服務(wù)器的電腦。他們發(fā)現(xiàn)，這個(gè)漏洞可追溯到Windows 95。

對(duì)于那些關(guān)心這個(gè)漏洞的用戶，摩爾表示，微軟的最新更新并未關(guān)閉代碼執(zhí)行孔，只是增加了警告。但是鑒于大多數(shù)用戶可能不會(huì)對(duì)這個(gè)警告做出回應(yīng)，因此其似乎并非有效方式。

令人感到欣慰的是，代碼執(zhí)行攻擊對(duì)企業(yè)設(shè)置效果不大，但是對(duì)家庭、中小企業(yè)的攻擊可能有效，特別是那些允許人們連接他們自己設(shè)備的中小企業(yè)。摩爾說(shuō)：“對(duì)于擁有BYOD筆記本電腦的公司來(lái)說(shuō)，風(fēng)險(xiǎn)可能更高。這些公司在公共網(wǎng)絡(luò)、企業(yè)網(wǎng)絡(luò)上允許使用個(gè)人筆記本電腦。說(shuō)服人們添加打印機(jī)可能很難，但可能有其他網(wǎng)絡(luò)攻擊方式趨勢(shì)人們這樣做，比如劫持HTTP請(qǐng)求，敦促用戶去執(zhí)行等?！?/p>