微软紧急补丁未能完全修复 PrintNightmare RCE 漏洞

即使微软为 Windows 10 版本 1607、Windows Server 2012 和 Windows Server 2016的所谓PrintNightmare 漏洞扩展了补丁,但人们发现可以绕过 Windows Print Spooler 服务中远程代码执行漏洞的修复在某些情况下,有效地破坏安全保护并允许攻击者在受感染的系统上运行任意代码。

周二,这家 Windows 制造商发布了紧急带外更新,以解决CVE-2021-34527(CVSS 评分:8.8)的问题,此前该漏洞被香港网络安全公司 Sangfor 的研究人员于上月底意外披露。事实证明,该问题与微软于 6 月 8 日修补的另一个漏洞(跟踪为CVE-2021-1675)不同。

“几天前,在微软 Windows 现有的打印机制中发现了两个安全漏洞,”Check Point 网络研究主管 Yaniv Balmas 告诉黑客新闻。“这些漏洞使恶意攻击者能够完全控制所有支持打印的 Windows 环境。”

“这些主要是工作站,但有时,这与作为非常流行的组织网络不可或缺的一部分的整个服务器有关。微软将这些漏洞列为严重漏洞,但当它们发布时,他们只能修复其中一个,留下探索第二个漏洞的大门打开了,”巴尔马斯补充道。

PrintNightmare 源于 Windows Print Spooler服务中的错误,该服务管理本地网络内的打印过程。该威胁的主要问题是非管理员用户能够加载他们自己的打印机驱动程序。这已经得到纠正。

“在安装此 [更新] 和更高版本的 Windows 更新后,非管理员用户只能将签名的打印驱动程序安装到打印服务器上,”微软表示,并详细说明了为减轻与该缺陷相关的风险所做的改进。“今后将需要管理员凭据才能在打印机服务器上安装未签名的打印机驱动程序。”

在更新发布后,CERT/CC 漏洞分析师 Will Dormann 警告说,该补丁“似乎只解决了 PrintNightmare 的远程代码执行(通过 SMB 和 RPC 的 RCE)变体,而不是本地提权(LPE)变体”,因此允许攻击者滥用后者以获取易受攻击系统的 SYSTEM 权限。

现在,更新的进一步测试显示,攻击目标的漏洞可以绕过调控措施完全获得本地权限提升和远程代码执行。但是,要实现这一点,必须启用名为“指向和打印限制”的Windows 策略(计算机配置\策略\管理模板\打印机:指向和打印限制),使用该策略可能会安装恶意打印机驱动程序。

“请注意,针对 CVE-2021-34527 的 Microsoft 更新并不能有效防止对 Point and Print NoWarningNoElevationOnInstall 设置为 1 的系统的利用,”Dormann周三表示。就微软而言,它在其公告中解释说,“Point and Print 与此漏洞没有直接关系,但该技术削弱了本地安全态势,从而使漏洞利用成为可能。”

虽然 Microsoft 已推荐停止和禁用 Print Spooler 服务的核心选项,但另一种解决方法是启用指向和打印的安全提示,并通过配置“RestrictDriverInstallationToAdministrators”注册表值来限制管理员单独安装打印机驱动程序的权限以防止普通用户在打印服务器上安装打印机驱动程序。

更新:针对 CERT/CC 的报告,微软周四表示

“我们的调查表明,OOB [带外] 安全更新按设计运行,并且对已知的打印机假脱机攻击和其他统称为 PrintNightmare 的公共报告有效。我们调查的所有报告都依赖于将与指向和打印相关的默认注册表设置更改为不安全的配置。”