7月14日報導更新  

● Windows PrintNightmare漏洞出現多起攻擊,美CISA呼籲聯邦政府全面安裝更新

● 微軟:PrintNightmare漏洞確實補好了

 7月19日報導更新 

又有新的Print Spooler漏洞,微軟呼籲快關閉Print Spooler服務

微軟上周釋出修補PrintNightmare漏洞的安全更新,卻立即造成某些印表機無法運作,迫使微軟又得再釋出修補程式解決。但是最核心的安全問題目前還是無法解決。

微軟7月6日釋出最新版KB5003690、頻外更新KB5004760 和 KB5004945,以解決編號CVE-2021-34527、外號PrintNightmare漏洞。不過上周有廠商在論壇上反映另一個問題,其1000家企業客戶系統安裝Windows更新KB5004945版後發生印表機無法列印,印表機廠商Zebra告知是Windows更新引發。另外有用戶反映,SATO及Dymo印表機也出現無法列印問題。

微軟證實有這情形,表示受影響的印表機品牌及機型有許多,但主要是經由USB傳輸埠連接電腦的收據或標籤印表機。Windows機器方面,則影響安裝Windows 10 2004、20H2、21H1的用戶端電腦,以及Windows Server 2004、20H2 伺服器。

根據微軟網頁顯示這項問題已經解決。微軟在7月9日經由Know Issue Rollback(KIR)功能將修補程式送到用戶電腦。KIR這是微軟為了解決Windows Update問題,設計釋出非安全更新的功能。多半用戶已在7月10日接到更新。

但對大部份用戶來說,這項更新並不能讓他們喘口氣,因為零時差漏洞CVE-2021-34527的問題仍未解決。

CVE-2021-34527同時具備本地權限升級(Local Privilege Escalation,LPE)及遠端程式碼攻擊(remote code execution,RCE),可使經驗證的一般使用者在Windows網域控制器伺服器上升級到系統管理員權限,再執行任意程式碼,達到刪改檔案內容、建立使用者帳號,或接管系統等目的。

不過一些安全研究人員相信,微軟7月6日釋出Windows更新,即KB5003690、頻外更新KB5004760 和 KB5004945,可能無法解決LPE及RCE問題。一來,多名研究人員揭露之前發展的概念驗證程式(PoC)仍能引發LPE。法國央行安全研究主管,也是滲透測試工具Mimikatz開發人Benjamin Delpy宣稱,強化的Mimikatz也能在修補好的Windows上觸發RCE,懷疑微軟急就章開發出的安全更新未經詳細測試。

研究人員認為,外部業者0Patch釋出的非官方修補程式可以為企業爭取一點時間,直到微軟完整修補為止。不想安裝的企業,至少應關閉這些機器上的Print Spooler列印服務。

熱門新聞

Advertisement