厂商发布PrintNightmare非官方修补程序

微软上周公布已经有开采活动的PrintNightmare远程程序代码执行漏洞,但是修补程序还在路上。一家厂商则提供非官方的修补程序供Windows Server用户下载。

PrintNightmare漏洞让微软和安全研究人员忙了好一阵子。6月初微软的每月安全更新Patch Tuesday,修补了一个位于Windows打印缓冲处理器程序Print Spooler中的漏洞CVE-2021-1675,它原本被列为为本地权限升级(Local Privilege Escalation)漏洞,但微软两个星期后将之改为远程程序代码执行(Remote Code Execution,RCE)。以为漏洞已完成修补的研究人员Zhiniang Peng及Xuefeng Li于是公布漏洞研究,以及概念验证(PoC)程序,并称该漏洞为PrintNightmare。不料其他研究人员发现该PoC也能开采已修补好的Windows机器,促使两名研究人员于是决定删除PoC,但似乎已经被人分叉出去。

上周微软澄清,被PoC开采PrintNightmare的并非CVE-2021-1675,而是很相似的新漏洞CVE-2021-34527。它也是存在Windows Print Spooler中的RCE漏洞,可让攻击者系统(SYSTEM)权限执行任意程序代码,即可安装文件、删改读取资料,或添加完整用户权限的账号。微软说CVE-2021-1675已经修补好了,CVE-2021-34527则尚没有修补程序。

安全厂商0Patch上周五公布针对4个受影响Windows版本而制作的CVE-2021-34527 micropatches,将免费提供给企业,这4个版本由新至旧涵盖Windows Server 2019、2016、2012及2008 R2。该公司表示这个micropatch将可防止用以安装本机或远程打印机驱动程序的函数AddPrinterDriverEx中,可关闭针对驱动程序不稳定发送警告消息的设置。他们认为这项设置并不常用,关闭以换取Windows不受远程入侵应是值得的。

微软也逐步公布研究细节。首先,所有版本的Windows都包含问题程序代码。该漏洞首先影响启动Print Spooler服务的Windows域名控制器以及AD域名下的验证用户,也影响10多个群组中的启动Point and Print原则的Windows机器。

根据微软公告,在用户端,CVE-2021-34527漏洞也影响Windows 7、8.1、Windows RT,以及Windows 10 21H1以前的版本。

发表评论