圖片來源: 

微軟

針對上周PrintNightmare例外更新引發的效果質疑微軟回應,確實已經解決問題了,沒有外界研究人員說的部份或完全未修補好的情況。

微軟上周二(7/6)針對CVE-2021-34527,即PrintNightmare釋出頻外(out-fo-band,OOB)更新。但部份研究人員認為,微軟針對頻外更新仍可以之前的概念驗證(PoC)程式,或是強化後的滲透測試工具Mimikatz繞過防護,而導致本地權限升級(LPE)及遠端程式碼執行(RCE)情形。

微軟安全回應中心認為這些研究人員所言非事實。他們把外界提出的問題檢視一番後認為,例外更新確實能有效防護已知的Print Spooler攻擊及其他統稱為PrintNighmare的開採程式。微軟指出,外界提出的所有狀況,都是將Point and Print有關的預設登錄檔設定變更為不安全的設定造成。

因此微軟仍然建議用戶立即安裝7月6日釋出的CVE-2021-34527安全更新。該更新變更了設定,使一般使用者僅能安裝經合法簽發的印表機驅動程式,管理員則可安裝經簽發或未經簽發的驅動程式。管理員也可設定登錄檔,不讓非管理員安裝印表機驅動程式。

微軟提醒管理員在安裝安全更新後,可檢查Windows以下機碼的值已調整為0,包括:

● HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

● NoWarningNoElevationOnInstall = 0 (DWORD),或採預設值。

● UpdatePromptSettings = 0 (DWORD),或採預設值

此一例外更新也包含在本周微軟釋出的7月Patch Tuesday安全更新中。除了PrintNightmare,本月安全更新另外修補了13個重大漏洞,包括Exchange Server中已公開的遠端程式碼執行(RCE)漏洞CVE-2021-34473及權限升級漏洞CVE-2021-34523。

此外本月更新還修補了3個尚未公開、但已遭開採的漏洞,包括2個Windows 核心的權限升級漏洞(CVE-2021-33771、CVE-2021-31979),及腳本語言引擎中的記憶體毁損漏洞(CVE-2021-34448)。

 7月19日報導更新 
又有新的Print Spooler漏洞,微軟呼籲快關閉Print Spooler服務


熱門新聞

Advertisement