6月30日,有安全人员发布一个Windows打印机远程代码执行漏洞概念验证,并将该漏洞命名为“PrintNightmare”。据悉,此漏洞可允许低权限用户对本地网络中的电脑发起攻击,从而控制存在漏洞的电脑,而域环境中的普通用户能够利用该漏洞对域控服务器发起攻击,控制整个域。
7月3日,微软发布公告称“PrintNightmare”漏洞可影响几乎所有主流Windows版本,具体漏洞编号为CVE--。而安全大脑仅在公告发布一天后,就监测到“紫狐”挖矿僵尸网络正利用“PrintNightmare”漏洞发起攻击。据悉,“紫狐”僵尸网络是一个规模庞大的挖矿僵尸网络,惯常使用网页挂马、MsSQL数据库弱口令爆破等方式入侵机器,入侵成功后会尝试在局域网横向移动,并在机器中植入挖矿木马进行获利。
经高级威胁研究分析中心研判分析发现,“紫狐”僵尸网络利用“PrintNightmare”漏洞入侵域内机器后,将文件名为“AwNKBOdTxFBP.dll”的恶意dll注入打印机进程spoolsv.exe中,恶意dll会将恶意注入rundll32.exe,启动PowerShell下载并执行僵尸程序。待僵尸程序下载并执行后,受害机器就会彻底沦为“紫狐“僵尸网络的一个节点,并且还会在挖矿的同时对网络中的其他机器发起攻击。
就在漏洞曝光后不久,安全大脑漏洞防护在第一时间支持了该漏洞的攻击拦截,并且在安全卫士、Win7盾甲等产品里添加了针对该漏洞的微补丁免疫,可使系统在未安装补丁或无法连接互联网时,也能有效防御该类型的攻击。
微软紧急推出“PrintNightmare”的修复补丁,并且对已经停止支持的Windows7系统也发布了相应补丁,可见这个漏洞影响之严重,安全大脑建议用户,尽快进行更新,预防该漏洞攻击。
如果企业管理员想排查企业内网是否受到此次木马攻击,则可通过IOCS来排查。安全大脑团队还针对用户安全,给出如下安全建议:1.用户在下载安装软件时,可优先通过软件
