吳明宜Windows列印緩衝處理服務爆RCE漏洞 但微軟還未修補好
Windows列印緩衝處理服務(Print Spooler)近日爆出高風險的遠端程式碼執行(RCE)漏洞,微軟本周緊急釋出安全更新,但似乎還是沒補好漏洞。
事情發生在6月最後一周,許多研究人員發現Windows一個在6月初安全更新中修補的漏洞,卻仍可被開採。微軟6月的Patch Tuesday修補了CVE-2021-1675,它位於列印緩衝處理服務(Print Spooler)中。這原先被稱為本地權限升級(Local Privilege Escalation, LPE)漏洞,可讓經驗證的使用者提升權限到系統(System)權限,但僅列為中度風險漏洞。但微軟6月將悄悄之改列為遠端程式碼(RCE)漏洞,可被遠端執行程式碼、刪、改資料、新增帳號。
PrintNightmare漏洞還沒修好
研究人員發現,在上了修補程式的Windows系統中,針對CVE-2021-1675設計的概念驗證(Proof of Concept, PoC)程式仍然有效,質疑微軟是否未修補完全。CVE-2021-1675也被稱為PrintNightmare。而且PoC也被分叉出別的版本。
然而隔天微軟發出漏洞已有開採程式的安全公告,但並不是針對CVE-2021-1675,而是CVE-2021-34527。微軟指出,CVE-2021-1675已經修補好了,新漏洞和它很像,但是是個別的漏洞。CVE-2021-34527也是RCE漏洞。本漏洞影響Windows Domain Controller,以及Active Directory (AD) 管理員系統。
微軟呼籲企業用戶關閉Print Spooler服務,或是透過群組政策關閉接收遠端列印的指令。但當時微軟表示還在研究當中,微軟不但沒有修補程式,而且連它影響的版本,以及風險多高都不清楚。
在7月4日美國國慶的周末,微軟工程師顯然沒得休假,因為他們正在加緊分析CVE-2021-34527,以及趕製修補程式。
先關閉Print Spooler或遠端列印服務
周末微軟證實,CVE-2021-34527為8.8的高風險漏洞,且影響所有Windows用戶端及Server版,包括Windows Server 2019、2016、2012及 2008 R2。用戶端則包括Windows 7、8.1、Windows RT,及Windows 10 21H1以前的Windows 10版本。
本周二微軟終於釋出KB5004945的例外安全更新,號稱可以同時解決CVE-2021-1675及CVE-2021-34527。當天微軟又釋出KB5004948安全更新。
不料研究人員,包括Hacker House創辦人Matthew Hickey及美國網路緊急應變小組協調中心(CERT/CC)研究人員Will Dormann指出CVE-2021-34527同時擁有LPE及RCE特性,但微軟更新只解決了RCE,但攻擊者仍然應利用LPE元件取得系統權限,在啟動「Point and Print」原則的Windows電腦上執行程式碼。
Windows 用戶及管理員呼籲不要安裝微軟7月6日釋出的修補程式,而應使用外部業者0Patch釋出的非官方修補程式,直到微軟修補完全。同時也應關閉Print Spooler服務。