思科 Talos 威胁情报研究团队在一份新报告中指出：微软的 PrintNightmare 安全漏洞，现正被一个名为 Vice Society 的勒索软件团伙所利用。近段时间，Talos 团队一直在密切留意攻击者在利用 Print Spooler 服务的安全隐患。遗憾的是，尽管微软在漏洞修复上耗费了数月的时间，最终取得的成果仍相当有限。 如图所示，Vice Society 会向受害者索要赎金，否则就会通过其网站泄露被盗的数据。 Talos 调查发现： Vice Society 与之前的 HelloKitty 勒索软件组织有关联，且目前正在利用 PrintNightmare Print Spooler 漏洞相关的动态链接库 (DLL) 文件注入勒索软件，来攻击那些易受感染的系统。 Talos 还观察到了 Vice Society 黑客用于执行攻击的一些策略、技术和程序（统称 TTP）： ● 比如在入侵期间使用 ProxyChains 将网络流量转移到其它地方。 ● 攻击 ESXi 虚拟服务器和数据备份，让整个系统容易受勒索软件感染阻止恢复。 ● 为了避免被端点安全解决方案检测到，威胁行为者还会绕过反恶意软件软件接口（AMSI）。   （消息及封面来源：cnBeta）

本月早些时候，安全研究人员意外地发布了一个零日漏洞和概念验证代码，证明了Windows 10 Print Spool中的一个漏洞可用于远程代码执行攻击。微软迅速地发布了一个带外修复程序，现在网络安全和基础设施安全局（CISA）已经命令政府机构紧急对联邦计算机应用这个补丁。 CISA说：”已经验证了各种概念证明的有效性，并担心如果不加以缓解，利用这一漏洞可能导致机构网络的全面系统受损。这一判断是基于目前威胁者在外部对这一漏洞的利用，进一步利用这一漏洞的可能性，受影响的软件在联邦企业中的普遍性，以及机构信息系统被破坏的高可能性。” 紧急指令21-04主要内容，并附有最后期限： 在2021年7月14日（星期三）美国东部时间晚上11:59之前，停止并禁用所有微软活动目录（AD）域控制器（DC）上的打印线轴服务。 在美国东部时间2021年7月20日（星期二）晚上11:59之前，将2021年7月的累积更新应用于所有Windows服务器和工作站。 在美国东部时间2021年7月20日（星期二）晚上11:59之前，对所有运行微软Windows操作系统的主机（行动1下的域控制器除外）完成指令中详述的选项1、2或3。 验证上述选项1、2和3的注册表和/或组策略设置是否正确部署。 在美国东部时间2021年7月20日（星期二）晚上11:59之前，确保技术和/或管理控制措施到位，以确保新配置的或以前断开连接的服务器和工作站得到更新，并在连接到机构网络之前拥有上述定义的设置。 在2021年7月21日（星期三）美国东部时间下午12:00之前，使用所提供的模板提交一份完成报告。 CISA还建议机构在所有不用于打印的系统上禁用Windows 10 Print Spool，普通Windows 10用户则可以通过安装刚刚发布的2021年7月累积更新来保护自己。     （消息及封面来源：cnBeta）

几天前微软紧急发布了一个带外（OOB）更新 KB5004945， 以修复“PrintNightmare”高危零日漏洞。但随后安全专家发现只需要修改注册表中的一个值就能绕过这个补丁，依然能利用该漏洞执行远程操作。 不过微软官方对本次更新予以肯定，表示在注册表安全设置下新更新能够保护用户，但修改注册表的行为是不安全的，在常规状态下不太会发生。微软官方回应道 我们已经收到了这方面的信息，并已着手进行调查，但目前我们并没有发现任何绕过该更新的情况。我们观察到可以绕过更新的方法，但这需要管理员将默认注册表设置更改为不安全的配置。参见 CVE-2021-34527 指南，以了解保护系统所需的设置的更多信息。   （消息及封面来源：cnBeta）

微软今天推出了一个紧急 Windows 修复补丁，以修复存在于 Windows Print Spooler 服务中的一个关键缺陷。该漏洞被称之为“PrintNightmare”，在安全研究人员无意中公布了概念验证（PoC）的利用代码后，于上周被曝光。 微软已经发布了带外安全更新以解决该漏洞，并将其评为关键漏洞，因为攻击者可以在受影响机器上以系统级权限远程执行代码。由于 Windows Print Spooler 服务在Windows上默认运行，微软不得不为 Windows Server 2019、Windows Server 2012 R2、Windows Server 2008、Windows 8.1、Windows RT 8.1 以及 Windows 10 的各种支持版本发布补丁。 微软甚至采取了不寻常的措施，为去年正式停止支持的 Windows 7 发布了补丁。不过，微软还没有为 Windows Server 2012、Windows Server 2016 和 Windows 10 Version 1607 发布补丁。微软表示，”这些版本的Windows的安全更新将很快发布”。 PrintNightmare，在漏洞代号CVE-2021-34527下被追踪，现在已被授予通用漏洞评分系统（CVSS）基本评级为8.8。值得注意的是，CVSS v3.0规范文件将其定义为 “高严重性”漏洞，但它非常接近从9.0开始的”危急”评级。目前的时间紧迫性得分是8.2，时间分是根据一些因素来衡量一个漏洞的当前可利用性。 基础分被定为8.8分是因为微软已经确定该攻击载体是在网络层面，需要较低的攻击复杂性和权限，不涉及用户互动，并可能导致组织资源的保密性、完整性和可用性 “完全丧失”。同时，时间分是8.2分是因为功能上的漏洞代码在互联网上很容易获得，并且适用于所有版本的Windows，存在关于它的详细报告，并且有一些官方的补救方法被建议。   （消息及封面来源：cnBeta）

虽然每月的补丁星期二活动微软都会发布一系列安全更新，但依然存在“漏网之鱼”。日前，国内安全公司深信服（Sangfor）发现了名为 PrintNightmare 的零日漏洞，允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力。该漏洞已引起美国网络安全和基础设施安全局（CISA）的关注，微软正在积极开展调查。 CISA 将 PrintNightmare 漏洞描述为“关键漏洞”（Critical），因为它可以远程执行代码。CERT 协调中心在 VU#383432 下对其进行跟踪，并解释说，问题的发生是因为 Windows Print Spooler 服务没有限制对 RpcAddPrinterDriverEx() 函数的访问，这意味着经过远程验证的攻击者可以利用它来运行任意代码。这种任意代码的执行是在SYSTEM的幌子下进行的。 作为参考，这个有问题的函数通常用于安装打印机驱动程序。然而，由于远程访问是不受限制的，这意味着有动机的攻击者可以使它指向远程服务器上的驱动程序，使受感染的机器以SYSTEM权限执行任意代码。 值得注意的是，微软在6月的 “补丁星期二 “更新中修复了CVE-2021-1675的相关问题，但最新的进展并不在修复范围内。该公司表示，它正在积极调查这个问题，并为域名管理员提出了两个解决方法。第一个是禁用 Windows Print Spooler 服务，但这意味着本地和远程的打印都将被禁用。第二种是通过组策略禁用入站远程打印。这将限制远程打印，但本地打印仍将正常工作。 微软正在以CVE-2021-34527追踪该漏洞。该公司明确表示，有问题的代码存在于所有版本的Windows中，但它仍在调查它是否也可以在所有版本中被利用。也就是说，由于该问题正在积极调查中，微软还没有给它一个漏洞评分，但也将其标记为 “关键”。   （消息及封面来源：cnBeta）

中国安全公司深信服（Sangfor）近日发现了名为 PrintNightmare 的零日漏洞，允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力，该公司还发布了概念证明代码。 在 6 月补丁星期二活动日中，微软发布的安全累积更新中修复了一个类似的 Print Spooler 漏洞。但是对于已经打过补丁的 Windows Server 2019 设备，PrintNightmare 漏洞依然有效，并允许攻击者远程执行代码。 根据概念证明代码显示，黑客只需要一些（甚至是低权限）的网络凭证就可以利用该漏洞进行远程执行，而且这些凭证在暗网上只需要 3 美元就能买到。这意味着企业网络又极易受到（尤其是勒索软件）的攻击，安全研究人员建议企业禁用其 Windows Print Spoolers。 影响版本 Windows Server 2019 (Server Core installation) Windows Server 2019 Windows Server 2016 (Server Core installation) Windows Server 2016 Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 (Server Core installation) Windows Server 2012 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server, version 2004 (Server Core installation) Windows RT 8.1 Windows 8.1 for x64-based systems Windows 8.1 for 32-bit systems Windows 7 for x64-based Systems Service Pack 1 Windows 7 for 32-bit Systems Service Pack 1 Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 for 32-bit Systems Windows Server, version 20H2 (Server Core Installation) Windows 10 Version 20H2 for ARM64-based Systems Windows 10 Version 20H2 for 32-bit Systems Windows 10 Version 20H2 for x64-based Systems Windows 10 Version 2004 for x64-based Systems Windows 10 Version 2004 for ARM64-based Systems Windows 10 Version 2004 for 32-bit Systems Windows 10 Version 21H1 for 32-bit Systems Windows 10 Version 21H1 for ARM64-based Systems Windows 10 Version 21H1 for x64-based Systems Windows 10 Version 1909 for ARM64-based Systems Windows 10 Version 1909 for x64-based Systems Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems     （消息及封面来源：cnBeta）