研究人员发现,微软针对CVE-2021-34527(PrintNightmare)紧急发布的修补程序,似乎尚未完整修补漏洞。
微软本周二(7/6)发布的频外更新修补了主要Windows服务器,包括Windows Server 2012、2016及2019上的CVE-2021-34527及类似的漏洞CVE- 2021-1675。
CVE-2021-34527允许远程攻击者在Windows域名控制器上,取得系统管理员权限,并安装执行程序代码、变更或删除文件及添加用户账号,影响启动Point and Print政策的Windows域名控制器。微软最新更新要求一般用户仅能安装经合法签发的打印机驱动程序,管理员则可安装经签发或未经签发的驱动程序。此外管理员也能设置RestrictDriverInstallationToAdministrators记录档,不让非管理员安装打印机驱动程序。
然而安全专家先后发现,微软可能修补不全。影响Windows打印多任务缓冲处理器(Print Spooler)的PrintNighmare漏洞,具备LPE(Local Privilege Escalation)及RCE(remote code execution)两种属性。美国网络紧急应变小组协调中心(CERT/CC)研究人员Will Dormann及其他研究人员相信,RCE部分已经解决,但LPE则仍未能修补,使用先前发布的PoC仍然能在Windows服务器上升级到系统(System)权限。
接着知名渗透工具Mimikatz开发者、法国央行(Banque de France)安全研究人员Benjamin Delpy更进一步发现,微软7月6日发布的频外更新,连RCE问题也未修补好。他指出,改造过的Mimikatz可以绕过Windows对远程函数库的检查机制,方法是文件路径上使用通用命名惯例(Universal Naming Convention,UNC)即可绕过检查,而在启动Point and Print政策、完全修补的Windows服务器执行程序代码。意味着LPE或RCE两个问题都未能解决。他也质疑微软可能未详尽测试最新的修补程序。
Dormann等研究人员呼吁外界不要安装微软7月6日发布的修补程序,可使用外部企业0Patch发布的非官方修补程序,直到微软完整修补。未能安装者,至少应关闭这些机器上的Print Spooler打印服务。