Windows更新、修復剩余 PrintNightmare漏洞
微軟發布了一項安全更新,以修復PrintNightmare零日漏洞。
7月8日,微軟在其官網上釋放出PrintNightmare漏洞的緊急補丁,編號CVE-2021-34527。該漏洞存在于所有windows個人電腦和服務器上,攻擊者可利用此漏洞獲取System權限(windows系統最高權限)運行任意代碼。在企業內部域環境中,普通域用戶可以通過該漏洞攻擊域控服務器,從而控制整個網絡。已有組織將攻擊腳本公開,企業受攻擊的風險大大增加。
雖然微軟發布了兩個安全更新來修復各種PrintNightmare漏洞,但安全研究人員Benjamin Delpy公開披露了另一個漏洞仍然允許威脅參與者通過遠程鏈接打印服務器快速獲得系統特權。
當用戶連接到打印機時,該漏洞使用CopyFile注冊表指令來復制DLL文件來打開一個命令行礦工。微軟最近的安全更新修改了打印機驅動的安裝過程,因此當驅動安裝后連接到打印機無需管理員權限。
此外,如果驅動存在于客戶端中,無需安裝,那么非管理員用戶遠程連接到打印機仍然會執行CopyFile注冊表指令。這一弱點使得攻擊者可以復制DLL文件到客戶端,并執行打開System級命令窗口。
更糟糕的是,Vice Society、Magniber和Conti等勒索軟件團伙已經開始利用該漏洞,在被攻擊的設備上獲得更高的特權。這個PrintNightmare漏洞被命名為cve - 2020 -36958。
新的安全更新
修復了PrintNightmare漏洞
在9月的2021年補丁星期二安全更新中,微軟發布了針對CVE-2021-36958的新安全更新,修復了剩余的PrintNightmare漏洞。
Delpy針對新的安全更新測試了他的漏洞,并向BleepingComputer確認該漏洞現已修復。
除了修復該漏洞,這次更新已經刪除了以前定義的緩解措施,因為它不再適用,并解決了研究人員在原始修復之外發現的其他問題。該漏洞已被公開披露,而且可以獲得功能性的利用代碼。
此策略可在Windows注冊表HKLM\Software\Policies\Microsoft\Windows NT\Printers鍵下配置,并添加一個名為CopyFilesPolicy的值。當設置為'1'時,CopyFiles將再次啟用。然而,即使啟用了該功能,它只允許微軟的c:\ windows \ system32 \msc .dll文件與該功能一起使用。
由于此更改將影響Windows的默認行為,目前還不清楚在Windows中打印時會導致什么問題。微軟目前還沒有發布關于此新組策略的任何信息,而且在組策略編輯器中也不可用。
除了PrintNightmare漏洞外,今天的更新還修復了一個被積極利用的Windows MSHTML零日漏洞。眾所周知,這兩個漏洞都被攻擊者濫用,因此盡快安裝Patch Tuesday,安全更新至關重要。
