漏洞描述
Microsoft Windows是微软发布的非常流行的操作系统。
Windows打印后台处理程序没有正确地验证可能加载DLL的路径。如果远程攻击者将恶意的DLL存储在了打印后台程序可访问的位置上然后向受影响的系统发送了特制的RPC消息的话,就可能导致打印后台程序加载恶意的DLL并以提升的权限执行代码。
Windows的打印服务没有正确的检查分隔符页面中可能包含的文件,攻击者可以登录到系统并创建特制的分隔符页面,导致读取或打印系统上的任何文件。即使用户没有管理访问权,也可以执行这些操作。但是,匿名用户无法利用此漏洞,也无法以远程方式利用此漏洞。
Windows的打印后台程序在解析某些打印数据结构时存在缓冲区溢出漏洞。远程攻击者可以首先诱骗用户访问恶意的打印服务器,然后向受影响系统发送特制的RPC请求,导致在枚举期间错误的解析打印服务器的ShareName。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建新帐户。
解决方法
临时解决方法:
* 在防火墙阻断TCP 139和445端口。
* 在Windows 2000 SP4上,从NullSessionPipes注册表项删除Print Spooler服务。
1. 单击“开始”,单击“运行”,键入regedt32,然后单击“确定”。
2. 在注册表编辑器中,找到以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\NullSessionPipes
3. 编辑该注册表项,并删除SPOOLSS值。
4. 执行这些操作之后重新启动受影响的系统。
* 禁用Print Spooler服务
1. 单击“开始”,然后单击“控制面板”。或者,指向“设置”,然后单击“控制面板”。
2. 双击“管理工具”。
3. 双击“服务”。
4. 双击“Print Spooler”。
5. 在“启动类型”列表中,单击“禁用”。
6. 单击“停止”,然后单击“确定”。
您还可以通过在命令提示符处使用以下命令来停止和禁用Print Spooler服务:
sc stop Spooler & sc config Spooler start=disabled
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS09-022)以及相应补丁:
MS09-022:Vulnerabilities in Windows Print Spooler Could Allow Remote Code Execution (961501)
链接:https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-022
补丁下载:
http://www.microsoft.com/downloads/details.aspx?familyid=86378753-db24-44c2-a27d-cc0239f40ab8