據(jù)美國(guó)科技博客媒體Ars Technica報(bào)道，微軟最近已修復(fù)存在了20年的漏洞，該漏洞在打印機(jī)連接和文檔打印的Windows Print Spooler中。20年間，黑客可通過漏洞在人們電腦上秘密安裝惡意軟件。

Windows Print Spooler利用Point-and-Print協(xié)議允許首次連接網(wǎng)絡(luò)托管打印機(jī)的管理員在使用之前自動(dòng)下載必要的驅(qū)動(dòng)程序，其中驅(qū)動(dòng)存儲(chǔ)在打印機(jī)或打印服務(wù)器上。但有安全研究人員發(fā)現(xiàn)，當(dāng)遠(yuǎn)程安裝打印驅(qū)動(dòng)程序時(shí)，Windows Print Spooler并不能正確驗(yàn)證遠(yuǎn)程下載的打印機(jī)驅(qū)動(dòng)，導(dǎo)致黑客可進(jìn)入其中惡意修改驅(qū)動(dòng)程序。這個(gè)漏洞能將打印機(jī)、打印機(jī)驅(qū)動(dòng)程序或任何偽裝成打印機(jī)的聯(lián)網(wǎng)裝置變成內(nèi)置驅(qū)動(dòng)工具包，只要一連接，設(shè)備都將被感染。

研究員尼克·博謝納（Nick Beauchesne）對(duì)該漏洞仔細(xì)研究后描述到“這些惡意軟件不僅可感染網(wǎng)絡(luò)中的多臺(tái)機(jī)器，還能重復(fù)感染。因?yàn)闆]有人會(huì)懷疑打印機(jī)，所以讓它存在了20年。然而從目前來看，這些設(shè)備并沒有我們想的那么安全。”

與此同時(shí)，知名安全專家摩爾（HD Moore）表示：

黑客一般通過兩種手段操控打印機(jī)驅(qū)動(dòng)設(shè)備上漏洞：一是連接筆記本電腦或其他便攜設(shè)備，將其偽裝成網(wǎng)絡(luò)打印機(jī)，當(dāng)用戶連接時(shí)，設(shè)備就會(huì)自動(dòng)發(fā)送惡意驅(qū)動(dòng)程序。另一種方法是監(jiān)控合法網(wǎng)絡(luò)打印機(jī)的流量設(shè)置，等待受害者自己添加打印機(jī)到它的系統(tǒng)中。黑客可劫持打印機(jī)驅(qū)動(dòng)程序的請(qǐng)求，以惡意驅(qū)動(dòng)程序回應(yīng)。這種攻擊可通過開放的Wi-Fi網(wǎng)絡(luò)或利用ARP騙過有線網(wǎng)絡(luò)進(jìn)行。

專業(yè)人士猜測(cè)，黑客還可以對(duì)打印機(jī)進(jìn)行“逆向工程”，修改關(guān)聯(lián)固件，以便傳送惡意驅(qū)動(dòng)程序。為了驗(yàn)證這個(gè)方法，Vectra研究人員進(jìn)行相關(guān)測(cè)驗(yàn)，證明了逆向工程的可行性。Vectra Networks研究人員嘗試攻擊組合設(shè)備，包括身份不明的打印機(jī)和運(yùn)行Windows XP（32位）、Windows 7（32位）、Windows 7（64位）、 Windows 2008 R2 AD 64、Ubuntu CUPS以及Windows 2008 R2 64打印服務(wù)器的電腦。最終他們驚奇的發(fā)現(xiàn)，這個(gè)漏洞可追溯到Windows 95。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。