微软上周发布修补PrintNightmare漏洞的安全更新,却立即造成某些打印机无法运行,迫使微软又得再发布修补程序解决。但是最核心的安全问题目前还是无法解决。
微软7月6日发布最新版KB5003690、频外更新KB5004760和KB5004945,以解决编号CVE-2021-34527、外号PrintNightmare漏洞。不过上周有厂商在论坛上反映另一个问题,其1000家企业客户系统安装Windows更新KB5004945版后发生打印机无法打印,打印机厂商Zebra告知是Windows更新引发。另外有用户反映,SATO及Dymo打印机也出现无法打印问题。
微软证实有这情形,表示受影响的打印机品牌及机型有许多,但主要是经由USB传输端口连接计算机的收据或标签打印机。Windows机器方面,则影响安装Windows 10 2004、20H2、21H1的用户端计算机,以及Windows Server 2004、20H2服务器。
根据微软网页显示这项问题已经解决。微软在7月9日经由Know Issue Rollback(KIR)功能将修补程序送到用户计算机。KIR这是微软为了解决Windows Update问题,设计发布非安全更新的功能。多半用户已在7月10日接到更新。
但对大部分用户来说,这项更新并不能让他们喘口气,因为零时差漏洞CVE-2021-34527的问题仍未解决。
CVE-2021-34527同时具备本地权限升级(Local Privilege Escalation,LPE)及远程程序代码攻击(remote code execution,RCE),可使经验证的一般用户在Windows域名控制器服务器上升级到系统管理员权限,再执行任意程序代码,达到删改文件内容、创建用户账号,或接管系统等目的。
不过一些安全研究人员相信,微软7月6日发布Windows更新,即KB5003690、频外更新KB5004760和KB5004945,可能无法解决LPE及RCE问题。一来,多名研究人员披露之前发展的概念验证程序(PoC)仍能引发LPE。法国央行安全研究主管,也是渗透测试工具Mimikatz开发人Benjamin Delpy宣称,强化的Mimikatz也能在修补好的Windows上触发RCE,怀疑微软急就章开发出的安全更新未经详细测试。
研究人员认为,外部企业0Patch发布的非官方修补程序可以为企业争取一点时间,直到微软完整修补为止。不想安装的企业,至少应关闭这些机器上的Print Spooler打印服务。