更新:现在补丁!微软发布的PrintNightmare紧急修复

上周我们写了关于PrintNightmare这个漏洞本应得到修补，但却没有。在6月的Patch周二发布后，研究人员发现该补丁并不是在所有情况下都有效，尤其是在现代域控制器上。昨天，微软发布了一组带外补丁，旨在通过修复Windows打印假脱机程序远程代码执行漏洞来纠正这一错误CVE-2021-34527．

严重的问题

微软在7月补丁周二发布前一周发布的补丁显示出问题有多严重。

PrintNightmare允许Windows网络上的标准用户在受影响的机器上执行任意代码，并通过向脆弱的机器提供恶意的打印机驱动程序，将他们的权限提升到域管理员级别。关于“PrintNightmare”究竟是一个已知的、修补过的问题，还是一个全新的问题，人们的困惑加剧了这个问题。结果，两者都有。

上周，网络安全和基础设施安全局(CISA)敦促管理人员禁用Windows打印脱机程序服务在不打印的域控制器和系统中。

然而，域控制器(DC)角色的安装将向后台处理程序服务添加一个线程，该线程负责删除过时的打印队列对象。如果每个站点中的至少一个域控制器上没有运行假脱机程序服务，那么Active Directory无法删除不再存在的旧队列。

因此，许多组织被迫在某些域控制器上保持打印假脱机程序服务，将其冒险使用此漏洞攻击。

套补丁

根据Windows版本，修补程序将提供：

• KB5004945适用于Windows 10 2004、20H1和21H1版本
• KB5004946Windows 10的1909版本
• KB5004947Windows 10版本1809和Windows Server 2019
• KB5004949适用于Windows 10版本1803，目前还无法使用
• KB5004950对于Windows 10版本1507
• 较老的Windows版本(Windows 7 SP1、Windows 8.1 Server 2008 SP2、Windows Server 2008 R2 SP1和Windows Server 2012 R2)将收到安全更新，禁止非管理员用户仅在打印服务器上安装签名的打印驱动程序。

微软表示，Windows 10 1607、Windows Server 2016或Windows Server 2012的安全更新尚未发布，但也将很快发布。

更新是累积的，并包含所有以前的修复以及保护CVE-2021-1675.．

没有完整的修复

重要的是要注意这些补丁和更新只处理远程代码执行(RCE)部分漏洞。几位研究人员已经证实，本地特权升级（LPE）矢量仍然有效。这意味着威胁演员和已有的恶意软件仍然可以在本地利用漏洞来获得系统权限。

建议

微软建议您立即在所有支持的Windows客户端和服务器操作系统上安装此更新，从当前驻留打印服务器角色的设备开始。您还可以选择配置RestrictDriverInstallationToAdministrators注册表设置以防止非管理员在打印服务器上安装签名的打印机驱动程序。看到KB5005010为更多的细节。

“CVE-2021-34527中的攻击向量和保护驻留在将打印机驱动程序安装到服务器的代码路径中。用于从客户端计算机上的可信打印服务器安装打印机驱动程序的工作流使用不同的路径。总之，CVE-2021-34527中的保护包括restrictiverInstallationToadMinistors注册表项不会影响这种情况。“

CISA鼓励用户和管理员查看Microsoft安全更新以及CERT / CC漏洞注意事项VU # 383432并应用必要的更新或变通方法。

更新的影响

因此，该漏洞存在于允许用户在服务器上安装打印机驱动程序的正常程序中。打印机驱动程序本质上与其他驱动程序一样是可执行程序。允许用户安装自己选择的可执行文件是自找麻烦。特别是结合了特权升级漏洞，任何人都可以使用该漏洞来处理SYSTEM特权。更新、补丁和一些变通方案都是为了限制可能的可执行文件而设计的，因为它们需要被签名的打印机驱动程序。

对于显示GPO设置和注册表键的详细和深刻的图表，管理员可以检查他们的系统是否脆弱，请查看这个流程图将是Dormann.．

这是我目前的理解# PrintNightmare可利用性流程图。
我和MSRC在UpdatePromptSettings和NoWarningNoElevationOnUpdate之间有一个小分歧，但我认为这并不重要，因为我现在有两个。pic.twitter.com/huIghjwTFq

Will Dormann (@wdormann)2021年7月7日

应用了0patch的用户信息

对于应用PrintNightmare的用户来说，值得一提的是由0 micropatches补丁根据0patch，最好不要安装微软的补丁。他们在Twitter上发帖称，只修复该漏洞RCE部分的微软补丁禁用了同时修复该漏洞LPE和RCE部分的0patch微补丁。

如果你使用0patch来对付PrintNightmare，不要应用7月6日的Windows更新!它不仅不能修复本地攻击向量，也不能修复远程向量。然而，它改变了localspll .dll，这使得我们修复这个问题的补丁停止应用。https://t.co/osoaxDVCoB

- 0补丁(@0patch)2021年7月7日

2021年7月9日更新

释放后，研究人员只在特殊情况下发现了一个在修补系统上工作的漏洞。本杰明deply显示了一个针对安装了带外补丁的Windows Server 2019的漏洞。在一个演示中，Delpy显示更新无法修复使用特定设置的脆弱系统点和打印，这使得网络用户更容易获取所需的打印机驱动程序。

微软的辩护意见是CVE-2021-34527在FAQ中载有一项说明，说明:

点和打印与此漏洞没有直接关系，但是某些配置使系统容易被利用。

更新7月14日，2021年7月14日

网络安全和基础设施安全局(CISA)已经发布紧急指令21-04，“减轻Windows打印假脱机程序服务漏洞”，因为它知道多个威胁参与者正在积极利用PrintNightmare漏洞。

CISA确定，这种脆弱性对联邦文职行政部门机构构成不可接受的风险，需要采取紧急行动。CISA列出的行动是各机构必须采取的行动。这些行动是必要的决心是基于当前开发演员在野外,这个漏洞的威胁的可能性进一步剥削脆弱,受影响的流行软件企业在联邦,妥协和高潜力的机构信息系统。利用该漏洞，攻击者可以使用系统级特权远程执行代码，从而使威胁行动者能够迅速破坏目标组织的整个身份基础设施。

2021年8月10日更新

Microsoft发布了一个安全更新，它将在使用Windows Point和打印功能之前所需的管理权限。由于点和打印与系统权限进行了运行，该功能有效地为威胁演员提供了一种简单的方法来获得任何大型企业或政府网络内的管理权。