研究人员表示,微软周二发布的紧急补丁未能完全修复所有支持的Windows版本中的一个关键安全漏洞,该漏洞允许攻击者控制受感染的系统并运行他们选择的代码。
该威胁被俗称为PrintNightmare,源于Windows打印线轴中的漏洞,它在本地网络中提供打印功能,研究人员将该漏洞追踪为CVE-2021-34527。
一个大问题
当打印功能发布在互联网上时,攻击者可以远程利用它,还可以利用它来提升系统权限,一旦他们利用不同的漏洞在网络中获得了控制权。在任何一种情况下,攻击者都可以获得对域控制器的控制权,而域控制器作为认证本地用户的服务器,是任何Windows网络中最安全敏感的资产之一。
CERT协调中心的高级漏洞分析师Will Dormann说:"这是我在很长一段时间内处理过的最大的一笔交易,CERT协调中心是一个非营利性的美国联邦资助项目,研究软件漏洞并与企业和政府合作提高安全性。"任何时候有公开的未修补漏洞的利用代码,可以破坏Windows域控制器,这就是坏消息。"
在该漏洞的严重性曝光后,微软在周二发布了一个带外修复。微软表示,该更新 "完全解决了这个公共漏洞"。但在周三--发布后12小时多一点--一位研究人员展示了漏洞如何绕过补丁进行攻击。
"黑客和网络工具Mimikatz和其他软件的开发者Benjamin Delpy在Twitter上写道:"处理字符串和文件名很困难。
伴随着Delpy的推文的是一个视频,它显示了一个匆忙编写的漏洞,对安装了带外补丁的Windows Server 2019起作用。该演示显示,该更新未能修复使用某些设置的脆弱系统,这些设置被称为点和打印,这使得网络用户更容易获得他们需要的打印机驱动程序。
埋藏在微软周二发布的公告底部的是以下内容。"点和打印与这一漏洞没有直接关系,但该技术削弱了本地的安全态势,从而有可能被利用"。
一个错误引发的问题
这个不完整的补丁是涉及PrintNightmare漏洞的最新口误。上个月,微软的月度补丁批次修复了CVE-2021-1675,这是一个打印线轴漏洞,允许在机器上拥有有限系统权限的黑客将权限升级为管理员。微软认为是腾讯安全的霍志鹏、Afine的Piotr Madej和Nsfocus的张云海发现并报告了该漏洞。
几周后,两位不同的研究人员--来自Sangfor的彭志宁和李雪峰--发表了对CVE-2021-1675的分析,显示它不仅可以被利用来实现权限升级,还可以实现远程代码执行。研究人员将他们的漏洞命名为PrintNightmare。
最终,研究人员确定PrintNightmare利用了一个与CVE-2021-1675相似(但最终不同)的漏洞。彭志亮和李雪峰在得知这一混淆后删除了他们的概念验证漏洞,但那时他们的漏洞已经广泛流传。目前至少有三个PoC漏洞公开可用,有些漏洞的功能远远超出了最初的漏洞所允许的范围。
微软的修复措施保护被设置为域控制器的Windows服务器或使用默认设置的Windows 10设备。周三Delpy的演示显示,PrintNightmare对更广泛的系统起作用,包括那些启用了Point and Print并选择NoWarningNoElevationOnInstall选项的系统。研究人员在Mimikatz中实现了该漏洞。
一个新机制
除了试图关闭代码执行漏洞,周二对CVE-2021-34527的修复还安装了一个新机制,允许Windows管理员在用户试图安装打印机软件时实施更强的限制。
"在安装包含CVE-2021-34527保护措施的2021年7月6日和更新的Windows更新之前,打印机操作员的安全组可以在打印机服务器上安装有签名和无签名的打印机驱动程序,"微软的一份公告如此写道。"安装此类更新后,像打印机操作员这样的委托管理组只能安装有签名的打印机驱动程序。今后在打印机服务器上安装无签名的打印机驱动程序将需要管理员证书。"
尽管周二的带外补丁并不完整,但它仍然提供了有意义的保护,防止利用打印ooler漏洞的许多类型的攻击。到目前为止,还没有已知的研究人员说它使系统处于危险之中的案例。除非这种情况改变,否则Windows用户应该同时安装6月和周二的补丁,并等待微软的进一步指示。
