Stuxnet的遗产在新的Windows漏洞中继续存在

微软每个月都会发布针对各种漏洞的补丁，有些相当严重，有些则不太严重。但是，很少有补丁星期二为一个漏洞提供补丁，该漏洞具有昨天披露的Windows打印假脱机程序中的漏洞的历史、知识和易利性。

该漏洞(CVE-2020-1048)并不是深埋在Windows内部的超级复杂的远程代码执行漏洞，而是一个谦逊的权限提升漏洞，位于一个多年来没有引起研究人员太多关注的地方。至少不是公开的。该漏洞影响许多最新版本的Windows，包括Windows Server 2008、2012、2016和2019，以及Windows 7、8.1和10。

“当Windows打印假脱机程序服务不正确地允许任意写入文件系统时，存在权限提升漏洞。成功利用此漏洞的攻击者可以使用提升的系统权限运行任意代码。然后攻击者就可以安装程序；查看、更改或删除数据；或者创建具有完全用户权限的新帐户。

Windows后台打印程序是操作系统中管理打印进程的服务。这项服务在Windows中已经存在了相当长的一段时间，这些年来并没有太大的发展。它处理查找和加载打印驱动程序、创建打印作业，然后最终打印它们的后端功能。这类服务通常不会引起研究人员或攻击者的太多关注，但大约十年前，至少有一个团队花了相当长的时间来研究它：Stuxnet团队。

Stuxnet蠕虫在2010年攻击了伊朗的几个核设施，后来传播到世界各地许多网络的Windows PC上，利用后台打印程序服务中的类似漏洞进行攻击。在Stuxnet被发现时，该漏洞是一个零日，是该蠕虫在其感染例程中使用的至少四个以前未知的漏洞之一。Stuxnet是一个史无前例的发现，它包含了对SCADA和工业控制系统以及Windows的攻击，即使在它出现10年后，它也被认为是有史以来开发的最复杂的恶意软件之一。

Stuxnet利用的打印假脱机程序漏洞(CVE-2010-2729)的描述与微软本周修补的漏洞惊人地相似，但一个值得注意的例外是，2010年的错误可能导致在Windows XP计算机上远程执行代码。

“Windows后台打印程序服务中存在远程代码执行漏洞，使得未经验证的远程攻击者能够在受影响的Windows XP系统上执行任意代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。然后攻击者可以安装程序；查看、更改或删除数据；或者创建新帐户，“针对旧漏洞的公告说。

虽然Stuxnet打印假脱机程序漏洞是在蠕虫造成破坏后才发现的，但较新的漏洞是由SafeBreach的研究人员发现的，他们向微软报告了这一漏洞。这个新的漏洞引起了其他研究人员的注意，他们发现它不仅与Stuxnet漏洞有关，而且很容易被利用。Windows咨询和培训公司Winsider的亚登·沙菲尔(Yarden Shafir)和亚历克斯·约内斯库(Alex Ionescu)对该漏洞所做的详细分析显示，利用该漏洞并在易受攻击的系统上安装永久后门只需一行PowerShell即可。

Shafir和Ionescu说：“具有讽刺意味的是，打印假脱机程序仍然是最古老的Windows组件之一，仍然没有得到太多的审查，尽管它在很大程度上自Windows NT 4以来没有改变，甚至被Stuxnet滥用的情况广为人知，”Shafir和Ionescu说。

“这个漏洞可能是我们在Windows史上最喜欢的漏洞之一，或者至少是我们最喜欢的5个漏洞之一，因为它的简单和陈旧-在Windows的原始版本中完全崩溃了，在Stuxnet…之后变得更加强大。但仍然是破碎的。“。

两人还表示，他们已经在同一区域发现并披露了一些尚未修补的其他漏洞，“所以肯定还有一些龙在躲藏。”