微软的紧急补丁无法完全修复PrintRece漏洞

即使Microsoft为Windows 10版本1607、Windows Server 2012和Windows Server 2016的所谓Print噩梦漏洞扩展了修补程序，但人们发现，在某些情况下，可以绕过Windows打印后台处理程序服务中远程代码执行漏洞的修复，有效地破坏了安全保护，并允许攻击者在受感染的系统上运行任意代码

上个月底，香港网络安全公司Sangfor的研究人员意外披露了CVE-2021-34527（CVSS分数：8.8）的漏洞后，这家Windows制造商于周二发布了一份紧急带外更新，以解决该漏洞，当时发现该问题与另一个漏洞不同—；被追踪为CVE-2021-1675和#8212；微软在6月8日对此进行了修补

“几天前，在微软Windows现有的打印机制中发现了两个安全漏洞，”Check Point网络研究负责人亚尼夫·巴尔马斯告诉《黑客新闻》。“这些漏洞使恶意攻击者能够完全控制所有支持打印的windows环境。”

“这些大多是工作站，但有时与整个服务器有关，这些服务器是非常流行的组织网络的组成部分。Microsoft将这些漏洞列为关键漏洞，但在发布时，它们只能修复其中一个，为探索第二个漏洞打开了大门。”巴尔马斯补充道

打印噩梦源于Windows打印后台处理程序服务中的漏洞，该服务在本地网络中管理打印过程。这种威胁的主要问题是，非管理员用户能够加载自己的打印机驱动程序。这一点现已得到纠正

“在安装此[更新]和更高版本的Windows更新后，非管理员的用户只能将签名打印驱动程序安装到打印服务器上，”微软说，并详细介绍了为降低与该漏洞相关的风险所做的改进。“需要管理员凭据才能在打印机服务器上安装未签名的打印机驱动程序。”

发布更新版本，CERT/CC漏洞分析人员威尔·多尔曼警告说，该补丁“似乎只解决PrintMonthram的远程代码执行（通过SMB和RPC执行RCE）变体，而不是本地权限提升（LPE）变体”，从而允许攻击者滥用后者在易受攻击的系统上获取系统权限

现在，对更新的进一步测试表明，针对该漏洞的攻击可以完全绕过补救措施，从而获得本地权限提升和远程代码执行。但是，为了实现这一点，必须启用名为“点和打印限制”的Windows策略（计算机配置\策略\管理模板\打印机：点和打印限制），使用该策略可能会安装恶意打印机驱动程序

“请注意，Microsoft针对CVE-2021-34527的更新并不能有效防止将Point and Print NoWarningNoeLevationInstall设置为1的系统被利用，”Dorman周三说。微软则在其公告中解释说，“Point and Print与该漏洞没有直接关系，但该技术削弱了本地的安全态势，因此有可能被利用。”

虽然微软建议停止和禁用打印后台处理程序服务的核心选项，但另一种解决方法是为Point and Print启用安全提示，并通过配置“RestrictDriverInstallationToAdministrators”注册表值，将打印机驱动程序安装权限仅限于管理员，以防止普通用户在打印服务器上安装打印机驱动程序

针对CERT/CC的报告，微软周四表示：#“我们的调查显示，OOB[带外]安全更新正在按设计工作，并有效防止已知的打印机假脱机攻击和其他公共报告，统称为打印噩梦。我们调查的所有报告都依赖于将与Point and Print相关的默认注册表设置更改为不安全的配置。"