一個在微軟眼皮底下活了 20 年的漏洞,最近終於被正法

一個已存在了 20 年,位於印表機的 Windows 漏洞最近終於被修正了;最早可追溯到 Windows 95。
評論
評論

本文原刊於 合作媒體雷鋒網 ,Inside 授權轉載。

據 Ars Technica 報導,微軟最近已修復一個已經存在了 20 年的漏洞,這個漏洞在印表機連接和文件列印的 Windows Print Spooler 中。這 20 年間,駭客可通過漏洞在人們電腦上秘密安裝惡意軟體。

Windows Print Spooler 利用 Point-and-Print 協議允許首次連接網路托管印表機的管理員在使用之前自動下載必要的驅動程式,其中驅動儲存在印表機或列印伺服器上。但有安全研究人員發現,當遠程安裝列印驅動程式時,Windows Print Spooler 並不能正確驗證遠程下載的印表機驅動,導致駭客可進入其中惡意修改驅動程式。這個漏洞能將印表機、印表機驅動程式或任何偽裝成印表機的聯網裝置變成內置驅動工具包,只要一連接,設備都將被感染。

研究員 Nick Beauchesne 對該漏洞仔細研究後描述到「這些惡意軟體不僅可感染網路中的多台機器,還能重複感染。因為沒有人會懷疑印表機,所以讓它存在了 20 年。然而從目前來看,這些設備並沒有我們想的那麼安全。」

與此同時,知名安全專家 HD Moore 表示:

駭客一般通過兩種手段操控印表機驅動設備上的漏洞:一是連接筆電或其他便於攜帶的設備,將其偽裝成網路印表機,當使用者連接時,設備就會自動發送惡意驅動程式。另一種方法是監控合法網路印表機的流量設置,等待受害者自己添加印表機到它的系統中。駭客可劫持印表機驅動程式的請求,以惡意驅動程式回應。這種攻擊可通過開放的 Wi-Fi 網路或利用 ARP 騙過有線網路進行。

578763252bafa

專業人士猜測,駭客還可以對印表機進行「逆向工程」,修改相關韌體,以便傳送惡意驅動程式。為了驗證這個方法,Vectra 研究人員進行相關測驗,證明瞭逆向工程的可行性。Vectra Networks 研究人員嘗試攻擊組合設備,包括身份不明的印表機和運行 Windows XP(32 位)、Windows 7(32 位)、Windows 7(64 位)、 Windows 2008 R2 AD 64、Ubuntu CUPS 以及 Windows 2008 R2 64 列印伺服器的電腦。最終他們驚訝的發現,這個漏洞可追溯到 Windows 95。



精選熱門好工作

專案經理(2C)

英屬維京群島商幫你優股份有限公司台灣分公司
臺北市.台灣

獎勵 NT$15,000

電商平台軟體開發員 - Software Engineer - Web

皇博數位有限公司
高雄市.台灣

獎勵 NT$15,000

產品助理

強勝有限公司
臺北市.台灣

獎勵 NT$15,000