吳明宜Windows 列印緩衝處理服務 (Print Spooler) 近日爆出高風險的遠端程式碼執行 (RCE) 漏洞,微軟本周緊急釋出安全更新,但似乎還是沒補好漏洞。
事情發生在 6 月最後一周,許多研究人員發現 Windows 一個在 6 月初安全更新中修補的漏洞,卻仍可被開採。微軟 6 月的 Patch Tuesday 修補了 CVE-2021-1675,它位於列印緩衝處理服務 (Print Spooler) 中。這原先被稱為本地權限升級 (Local Privilege Escalation, LPE) 漏洞,可讓經驗證的使用者提升權限到系統 (System) 權限,但僅列為中度風險漏洞。但微軟 6 月將悄悄之改列為遠端程式碼 (RCE) 漏洞,可被遠端執行程式碼、刪、改資料、新增帳號。
本文目錄
PrintNightmare 漏洞還沒修好
研究人員發現,在上了修補程式的 Windows 系統中,針對 CVE-2021-1675 設計的概念驗證 (Proof of Concept, PoC) 程式仍然有效,質疑微軟是否未修補完全。 CVE-2021-1675 也被稱為 PrintNightmare 。而且 PoC 也被分叉出別的版本。
然而隔天微軟發出漏洞已有開採程式的安全公告,但並不是針對 CVE-2021-1675,而是 CVE-2021-34527 。微軟指出,CVE-2021-1675 已經修補好了,新漏洞和它很像,但是是個別的漏洞。 CVE-2021-34527 也是 RCE 漏洞。本漏洞影響 Windows Domain Controller,以及 Active Directory (AD) 管理員系統。
微軟呼籲企業用戶關閉 Print Spooler 服務,或是透過群組政策關閉接收遠端列印的指令。但當時微軟表示還在研究當中,微軟不但沒有修補程式,而且連它影響的版本,以及風險多高都不清楚。
在 7 月 4 日美國國慶的周末,微軟工程師顯然沒得休假,因為他們正在加緊分析 CVE-2021-34527,以及趕製修補程式。
先關閉 Print Spooler 或遠端列印服務
周末微軟證實,CVE-2021-34527 為 8.8 的高風險漏洞,且影響所有 Windows 用戶端及 Server 版,包括 Windows Server 2019 、 2016 、 2012 及 2008 R2 。用戶端則包括 Windows 7 、 8.1 、 Windows RT,及 Windows 10 21H1 以前的 Windows 10 版本。
本周二微軟終於釋出 KB5004945 的例外安全更新,號稱可以同時解決 CVE-2021-1675 及 CVE-2021-34527 。當天微軟又釋出 KB5004948 安全更新。
不料研究人員,包括 Hacker House 創辦人 Matthew Hickey 及美國網路緊急應變小組協調中心(CERT/CC)研究人員 Will Dormann 指出 CVE-2021-34527 同時擁有 LPE 及 RCE 特性,但微軟更新只解決了 RCE,但攻擊者仍然應利用 LPE 元件取得系統權限,在啟動「Point and Print」原則的 Windows 電腦上執行程式碼。
Windows 用戶及管理員呼籲不要安裝微軟 7 月 6 日釋出的修補程式,而應使用外部業者 0Patch 釋出的非官方修補程式,直到微軟修補完全。同時也應關閉 Print Spooler 服務。