据美国科技博客媒体Ars Technica报道,微软最近已修复存在了20年的漏洞,该漏洞在打印机连接和文档打印的Windows Print Spooler中。20年间,黑客可通过漏洞在人们电脑上秘密安装恶意软件。
Windows Print Spooler利用Point-and-Print协议允许首次连接网络托管打印机的管理员在使用之前自动下载必要的驱动程序,其中驱动存储在打印机或打印服务器上。但有安全研究人员发现,当远程安装打印驱动程序时,Windows Print Spooler并不能正确验证远程下载的打印机驱动,导致黑客可进入其中恶意修改驱动程序。这个漏洞能将打印机、打印机驱动程序或任何伪装成打印机的联网装置变成内置驱动工具包,只要一连接,设备都将被感染。
研究员尼克·博谢纳(Nick Beauchesne)对该漏洞仔细研究后描述到“这些恶意软件不仅可感染网络中的多台机器,还能重复感染。因为没有人会怀疑打印机,所以让它存在了20年。然而从目前来看,这些设备并没有我们想的那么安全。”
与此同时,知名安全专家摩尔(HD Moore)表示:
黑客一般通过两种手段操控打印机驱动设备上漏洞:一是连接笔记本电脑或其他便携设备,将其伪装成网络打印机,当用户连接时,设备就会自动发送恶意驱动程序。另一种方法是监控合法网络打印机的流量设置,等待受害者自己添加打印机到它的系统中。黑客可劫持打印机驱动程序的请求,以恶意驱动程序回应。这种攻击可通过开放的Wi-Fi网络或利用ARP骗过有线网络进行。
专业人士猜测,黑客还可以对打印机进行“逆向工程”,修改关联固件,以便传送恶意驱动程序。为了验证这个方法,Vectra研究人员进行相关测验,证明了逆向工程的可行性。Vectra Networks研究人员尝试攻击组合设备,包括身份不明的打印机和运行Windows XP(32位)、Windows 7(32位)、Windows 7(64位)、 Windows 2008 R2 AD 64、Ubuntu CUPS以及Windows 2008 R2 64打印服务器的电脑。最终他们惊奇的发现,这个漏洞可追溯到Windows 95。
====================================分割线================================
本文转自d1net(转载)
