据美国科技部落格媒体 Ars Technica 报导,微软最近已修复存在了 20 年的漏洞,该漏洞在打印机连接和文档打印的 Windows Print Spooler 中。20 年间,骇客可透过漏洞在人们电脑上偷偷安装恶意软件。
Windows Print Spooler 利用 Point-and-Print 协定允许首次连接网络托管打印机的管理员在使用之前自动下载必要的驱动程式,其中驱动储存在打印机或打印机服务器上。但有安全研究人员发现,当远端安装打印驱动程式时,Windows Print Spooler 不能正确验证远端下载的打印机驱动,导致骇客可进入其中恶意修改驱动程式。这个漏洞能将打印机、打印机驱动程式或任何伪装成打印机的联网装置变成内建驱动工具包,只要一连接,装置都将被感染。
研究员尼克‧博谢纳(Nick Beauchesne)对该漏洞仔细研究后描述,“这些恶意软件不仅可感染网络中的多台机器,还能重复感染。因为没有人会怀疑打印机,所以让它存在了 20 年。然而从目前来看,这些设备并没有我们想的那么安全。”
与此同时,知名安全专家摩尔(HD Moore)表示:
骇客一般透过两种手段操控打印机驱动设备上漏洞:一是连接笔记型电脑或其他便携式装置,将其伪装成网络打印机,当使用者连接时,设备就会自动发送恶意驱动程式。另一种方法是监控合法网络打印机的流量设置,等待受害者自己添加打印机到它的系统中。骇客可劫持打印机驱动程式的请求,以恶意驱动程式回应。这种攻击可透过开放的 Wi-Fi 网络或利用 ARP 骗过有线网络进行。
专业人士猜测,骇客还可以对打印机进行“逆向工程”,修改关联固件,以便传送恶意驱动程式。为了验证这个方法,Vectra 研究人员进行相关测验,证明逆向工程的可行性。Vectra Networks 研究人员尝试攻击组合设备,包括身份不明的打印机和运行 Windows XP(32 位元)、Windows 7(32 位元)、Windows 7(64 位元)、Windows 2008 R2 AD 64、Ubuntu CUPS 以及 Windows 2008 R2 64 印表服务器的电脑。最终他们惊奇的发现,这个漏洞可追溯到 Windows 95。
(本文由 雷锋网 授权转载)
