6月8日,微软在官网发布了新一轮安全更新公告,修复了Windows Print Spooler权限提升漏洞(CVE-2021-1675),该漏洞由绿盟科技天机实验室发现并获得微软致谢。
Print Spooler是打印后台处理程序服务,在Windows系统中用于后台执行打印作业并处理与打印机的交互。该服务对应的进程spoolsv.exe以SYSTEM权限执行,由于其设计中存在的一个严重缺陷,用户可以要求该服务执行任意指定的代码,从而获得权限提升。
虽然微软在公告中将该漏洞标记为Important级别的本地权限提升漏洞,但是经我们研究确认,在域环境中合适的条件下,无需任何用户交互,未经身份验证的远程攻击者就可以利用该漏洞以SYSTEM权限在域控制器上执行任意代码,从而获得整个域的控制权。
验证环境
我们进行验证的域中有以下设备:
域控制器DC- IP地址192.168.232.151
域成员WS01- IP地址为192.168.232.135
域成员WS02- IP地址为192.168.232.184
以上设备相互之间网络可达,攻击者接入WS02同一网络中,无需加入域。
验证演示
时间线
2021年2月1日
提交报告给MSRC
2021年6月8日
MSRC发布补丁和公告并致谢
2021年6月9日
绿盟科技CERT对外发布漏洞通告
2021年6月16日
M01N Team对外发布漏洞利用演示
天机实验室以高级漏洞攻防对抗技术为主要研究方向,包括:漏洞挖掘技术研究、漏洞分析技术研究、漏洞利用技术研究、安全防御机制及对抗技术研究等。研究目标涵盖主流操作系统、流行的应用系统及软件、重要的基础组件库、以及新兴的技术方向。通过对攻防对抗技术的研究,为更有效的安全解决方案提供建议。
M01N Team
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队