PrintNightmare 漏洞的补丁管用吗?安全界和微软有不同看法
编译:奇安信代码卫士
就在微软发布紧急更新,修复 Print Spooler 服务中严重的代码执行缺陷 (CVE-2021-1675) 的几天后,微软就开始调查研究员们的新一轮疑问:补丁并未修复‘PrintNightmare’ 漏洞。
对于微软而言,这两周过得很尴尬。安全研究员都在吐槽微软发出的缓解指南及其带外更新的有效性。
坚称补丁有用
微软发布简短声明称,“我们了解到这些说法并且正在调查,但这次我们并未发现绕过情况。我们发现一些关于绕过的说法称管理员将默认的注册表设置更改为不安全的配置。请参照CVE-2021-34527 的修复指南获取保护系统安全的设置信息。”
当地时间周四晚些时候,微软发布博客文章坚称,该紧急补丁“按设计起作用”并且“有效地防止已知的打印机欺骗利用。“微软表示调查了所有依靠将和 Point and Print 默认注册表设置更改为不安全的配置的报告,即在无需提供磁盘或其它安装媒介的情况下,允许 Windows 客户端和远程打印机创建连接的能力。
研究员不同意
多名研究员指出,在某些情况下该漏洞仍然展现出代码执行路径。Mimikatz 的创建人 Benjamin Delpy发布验证视频表示该漏洞仍然在完全修复的系统上起作用。在启用 Point and Print 能力且勾选 “NoWarningNoElevationOnInstall” 选项的情况下,Deply 发布的演示视频在 Windows 机器上起作用。
’PrintNightmare’ 漏洞对于微软而言可以说是自找苦吃。在6月的补丁星期二日,微软错误地判断了 Print Spooler 缺陷的严重性,在数周后才更新指南,证实了远程代码执行向量的存在。与此同时,黑帽大会宣布接受了关于某安全厂商提交的漏洞详情演讲,之后该漏洞的 PoC 利用代码流传到网络。
艰难承认是 0day
面对公众的批评,微软发布安全公告称”PrintNightmare” 确实是一个新 0day,和6月补丁星期二修复的漏洞不同。
Print Spooler 在Windows 系统上默认开启,是一个可执行文件,负责管理所有发送到计算机打印机或打印服务器的所有打印任务。
发布最新防护措施
尽管沟通磕磕绊绊,但微软强烈建议 Windows 用户立即采取如下措施:
在所有情况下,应用 CVE-2021-34527的安全更新。该更新不会更改现有的注册表设置。
应用该更新后,审计 CVE-2021-34527安全公告中记录的注册表设置。
如果记录的注册表键不存在,则后续无需采取任何措施。
如果记录的注册表键存在,则为保护系统安全,必须确认如下注册表键设置为0或者无显示:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) 或未定义(默认设置)
UpdatePromptSettings = 0 (DWORD) 或未定义(默认设置)
美国关键基础设施安全局 (CISA) 督促Windows 管理员禁用Domain Controllers 和系统中不执行打印任务的 Windows Print Spooler 服务。
从 CVE-2020-1048 到 CVE-2020-17001:Windows打印机模块中多个提权漏洞分析
https://www.securityweek.com/did-microsoft-botch-printnightmare-patch
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。