绿盟天机实验室获微软致谢|CVE-2021-1675 Windows Print Spooler RCE验证

6月8日,微软在官网发布了新一轮安全更新公告,修复了Windows Print Spooler权限提升漏洞(CVE-2021-1675),该漏洞由绿盟科技天机实验室发现并获得微软致谢。


Print Spooler是打印后台处理程序服务,在Windows系统中用于后台执行打印作业并处理与打印机的交互。该服务对应的进程spoolsv.exe以SYSTEM权限执行,由于其设计中存在的一个严重缺陷,用户可以要求该服务执行任意指定的代码,从而获得权限提升。


虽然微软在公告中将该漏洞标记为Important级别的本地权限提升漏洞,但是经我们研究确认,在域环境中合适的条件下,无需任何用户交互,未经身份验证的远程攻击者就可以利用该漏洞以SYSTEM权限在域控制器上执行任意代码,从而获得整个域的控制权。


验证环境

我们进行验证的域中有以下设备:

域控制器DC- IP地址192.168.232.151

域成员WS01- IP地址为192.168.232.135

域成员WS02- IP地址为192.168.232.184


以上设备相互之间网络可达,攻击者接入WS02同一网络中,无需加入域。


验证演示



时间线

2021年2月1日

提交报告给MSRC 

2021年6月8日

MSRC发布补丁和公告并致谢

2021年6月9日

绿盟科技CERT对外发布漏洞通告

2021年6月16日

M01N Team对外发布漏洞利用演示


天机实验室以高级漏洞攻防对抗技术为主要研究方向,包括:漏洞挖掘技术研究、漏洞分析技术研究、漏洞利用技术研究、安全防御机制及对抗技术研究等。研究目标涵盖主流操作系统、流行的应用系统及软件、重要的基础组件库、以及新兴的技术方向。通过对攻防对抗技术的研究,为更有效的安全解决方案提供建议。


M01N Team

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队




免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐