MS10-061: 打印后台处理程序漏洞
安全研究与防御团队
作者:swiat
发布日期:2010年9月14日
阅读时间:1分钟
今天上午我们发布了安全公告MS10-061,以解决Windows打印后台处理程序中的一个问题。在这篇博客文章中,我们将提供有关易受此问题影响的Windows具体配置的更多细节,以及其与Stuxnet恶意软件联系的更多背景信息。
受影响配置
根据配置不同,该漏洞允许本地或远程用户向%SYSTEM%写入任意文件。这是因为后台处理程序在某些条件下未能正确模拟用户身份。幸运的是,只有部分Windows计算机存在远程漏洞风险,如下图所示。
![受影响配置图表]
这些旧式打印机的列表可在KB 2347290中找到。
在Windows 7、Vista、Windows Server 2008 R2和Windows Server 2008及更高版本平台上,默认启用了基于密码的共享,这使得这些平台上的默认场景不易受攻击。在这些平台上,“Users"组默认也不是本地"Guests"组的成员。
本地用户也可以利用此漏洞获取SYSTEM权限。为此,用户需要能够添加打印机;在Vista+系统上,普通用户默认可以添加打印机。
实际利用情况?
这个特定漏洞是Stuxnet恶意软件用于提升权限和/或在网络中传播的几个漏洞之一。当Stuxnet启动时,它会枚举网络上的所有打印机共享,并尝试使用"Guest"账户连接它们;如果成功,它将调用各种API将自身复制到远程系统并执行。
- Mark Wodrich和Bruce Dang,MSRC工程团队
文章按"原样"提供,不提供任何担保,也不授予任何权利。