7月7日報導更新
● 微軟緊急發布PrintNightmare高風險漏洞的修補程式
● 微軟7月6日釋出的PrintNightmare漏洞修補,被研究人員判定無效
7月14日報導更新
● Windows PrintNightmare漏洞出現多起攻擊,美CISA呼籲聯邦政府全面安裝更新
7月19日報導更新
●又有新的Print Spooler漏洞,微軟呼籲快關閉Print Spooler服務
福無雙至,禍不單行。繼上周被發現一個被低估的遠端程式碼執行(Remote Code Execution,RCE)漏洞後,微軟周四再公佈Windows列印多工緩衝處理器Windows Print Spooler另一個RCE漏洞。但微軟尚不知漏洞風險,以及是否所有版本Windows都有風險。
編號CVE-2021-34527的漏洞,和本周引發關注的CVE-2021-1675同樣是Print Spooler中的RCE漏洞。微軟解釋,它是Print Spooler服務被不當執行檔案所致。要開採這項漏洞,攻擊者必須是經驗證的用戶並執行RpcAddPrinterDriverEx()。
成功開採者可以系統(SYSTEM)權限執行任意程式碼,即可安裝檔案、刪改讀取資料,或新增完整用戶權限的帳號。但根據微軟的公告,CVE-2021-34527已經被公開,而且已經有開採活動。
微軟還在研究這項漏洞,但因已有攻擊行動,微軟呼籲用戶應立即安裝本月初Patch Tuesday釋出的安全更新。如果無法安裝,應關閉Print Spooler服務,或是透過群組政策關閉接收遠端列印的指令。
在FAQ中,微軟將CVE-2021-34527漏洞稱之為PrintNightmare。但是微軟又說,它和稍早被研究人員命名為PrintNightmare的CVE-2021-1675,是相似、但不同的兩個漏洞。兩者的攻擊管道也不同。微軟指出,CVE-2021-1675已經在6月初的Patch Tuesday修補掉了。
這隻新漏洞,可能導致研究人員認為CVE-2021-1675修補不全。上周研究人員Cube0x0公佈的PoC,可以成功開採安裝CVE-2021-1675修補程式的系統。這PoC雖然已經移除,但已經被其他人分叉出新的PoC,因而可開採CVE-2021-34527。
至於是否Patch Tuesday造成CVE-2021-34527,微軟表示,這在上個月Patch Tuesday之前就已存在。
CERT研究人員解釋,RpcAddPrinterDriverEx()函式是在新增印表機時,在某台遠端伺服器上安裝列印驅動程式,它當中一項物件可指定新增印表機要用哪個驅動程式。攻擊者就是利用這點,呼叫這個函式,指定在遠端伺服器上安裝驅動程式檔,再變更dwFileCopyFlags引數,導致權限升級,最後取得系統權限並以Print Spooler執行DLL檔。CERT指出,這項漏洞影響Active Domain網域控制器,以及以NoWarningNoElevationOnInstall設定「Point 和列印」原則的系統。
目前僅知作為Active Directory網域控制器的Windows系統受影響,以及所有版本Windows都包含有漏洞的程式碼。至於其他受影響的角色、或是CVE-2021-34527的風險層級,以及是否所有Windows版本都會被開採,微軟表示都還在分析中。
熱門新聞
2024-04-15
2024-04-15
2024-04-15
2024-04-15
2024-04-15
2024-04-15
2024-04-15