在经过周末的加班后,微软周二终于通过频外更新(out-of-band)发布PrintNightmare以及之前一个相似漏洞的修补程序。
微软指出,已经完成调查编号CVE-2021-34527的漏洞,并发布安全更新以解决。本项安全更新不只可修补CVE-2021-34527,即PrintNightmare,也包含上个月已经修补、却被误以为没修补好的CVE-2021-1675的安全更新。
PrintNightmare(漏洞编号CVE-2021-34527)是位于Windows打印多任务缓冲处理器(Print Spooler)中的远程程序代码执行(RCE)漏洞。成功开采CVE-2021-34527者,可以系统(SYSTEM)权限执行任意程序代码,在Windows系统上安装文件、删改、读取资料,或添加完整用户权限的账号。
在CVE-2021-34527影响下,只要启动Print Spooler的Windows域名控制器及AD管理员系统都可能被黑,进而波及同一域名下Pre-Windows 2000 Compatible Access群组中的验证用户。本漏洞已经被公开,而且已经有概念验证(PoC)程序。
微软呼吁用户尽快安装更新。因为CVE-2021-34527属于CVSS 3.0 8.8的高风险漏洞。影响所有现行版本的Windows用户端及服务器版,包括Windows 2012、2016、2019,Windows 7、8.1、Windows 10的所有更新版。
安全企业0patch上周发布的非官方修补程序,也仅保护到Windows Server 2012、2016、2019。
微软也在上周针对PowerShell 7.0及7.1发布更新版本,呼吁Azure管理员尽快更新,因为网络上已出现开采CVE-2021-1675的PowerShell PoC。
参考资料
Windows打印多任务缓冲处理器(Print Spooler)的远程执行程序代码漏洞(CVE-2021-34527,PrintNightmare)官方修补