Re: [新聞] 微軟發緊急安全警告 立即更新個人電腦
微軟7月6日釋出的PrintNightmare漏洞修補,被研究人員判定無效
美國CERT/CC研究人員Will Dormann以及知名滲透工具Mimikatz開發者直言,影響Windows
列印多工緩衝處理器的PrintNighmare漏洞,具備LPE及RCE兩種屬性,但微軟在7月6日提
供的修補,並未解決RCE以及LPE漏洞引發的安全問題
文/林妍溱 | 2021-07-09發表
研究人員發現,微軟針對CVE-2021-34527(PrintNightmare)緊急釋出的修補程式,似乎
尚未完整修補漏洞。
微軟本周二(7/6)釋出的頻外更新修補了主要Windows伺服器,包括Windows Server
2012、2016及2019上的CVE-2021-34527及類似的漏洞CVE-2021-1675。
CVE-2021-34527允許遠端攻擊者在Windows網域控制器上,取得系統管理員權限,並安裝
執行程式碼、變更或刪除檔案及新增使用者帳號,影響啟動Point and Print政策的
Windows網域控制器。微軟最新更新要求一般使用者僅能安裝經合法簽發的印表機驅動程
式,管理員則可安裝經簽發或未經簽發的驅動程式。此外管理員也能設定
RestrictDriverInstallationToAdministrators記錄檔,不讓非管理員安裝印表機驅動程
式。
然而安全專家先後發現,微軟可能修補不全。影響Windows列印多工緩衝處理器(Print
Spooler)的PrintNighmare漏洞,具備LPE(Local Privilege Escalation)及RCE(
remote code execution)兩種屬性。美國網路緊急應變小組協調中心(CERT/CC)研究人
員Will Dormann及其他研究人員相信,RCE部份已經解決,但LPE則仍未能修補,使用先前
釋出的PoC仍然能在Windows伺服器上升級到系統(System)權限。
接著知名滲透工具Mimikatz開發者、法國央行(Banque de France)安全研究人員
Benjamin Delpy更進一步發現,微軟7月6日釋出的頻外更新,連RCE問題也未修補好。他
指出,改造過的Mimikatz可以繞過Windows對遠端函式庫的檢查機制,方法是檔案路徑上
使用通用命名慣例(Universal Naming Convention,UNC)即可繞過檢查,而在啟動
Point and Print政策、完全修補的Windows伺服器執行程式碼。意謂著LPE或RCE兩個問題
都未能解決。他也質疑微軟可能未詳盡測試最新的修補程式。
Dormann等研究人員呼籲外界不要安裝微軟7月6日釋出的修補程式,可使用外部業者
0Patch釋出的非官方修補程式,直到微軟完整修補。未能安裝者,至少應關閉這些機器上
的Print Spooler列印服務。
https://www.ithome.com.tw/news/145546
7/6的修補程式,白裝了,原來根本沒用啊
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.71.212.232 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1625840213.A.B99.html
噓
07/09 22:36,
4年前
, 1F
07/09 22:36, 1F
推
07/09 22:40,
4年前
, 2F
07/09 22:40, 2F
推
07/09 23:29,
4年前
, 3F
07/09 23:29, 3F
→
07/09 23:29,
4年前
, 4F
07/09 23:29, 4F
推
07/10 00:35,
4年前
, 5F
07/10 00:35, 5F
→
07/10 06:33,
4年前
, 6F
07/10 06:33, 6F
→
07/10 07:29,
4年前
, 7F
07/10 07:29, 7F
噓
07/10 07:29,
4年前
, 8F
07/10 07:29, 8F
推
07/10 08:33,
4年前
, 9F
07/10 08:33, 9F
推
07/10 11:41,
4年前
, 10F
07/10 11:41, 10F
→
07/10 11:41,
4年前
, 11F
07/10 11:41, 11F
討論串 (同標題文章)
完整討論串 (本文為第 2 之 2 篇):
PC_Shopping 近期熱門文章
PTT數位生活區 即時熱門文章
