簡介
微軟已經為 PrintNightmare 發布了一個緊急修補程式，這是 Windows Print Spooler 服務中的一組兩個關鍵的遠程代碼執行（RCE）漏洞，駭客可以利用這些漏洞來接管受感染的系統。微軟周二為幾個版本的 Windows 發布了帶外更新，以解決CVE-2021-34527，這是兩個漏洞中的第二個，這兩個漏洞最初被認為是一個漏洞，被安全研究人員稱為 PrintNightmare。然而，根據網路安全基礎設施和安全管理局（CISA）的咨詢，最新的修復似乎只解決了 PrintNightmare 的 RCE 變體，而不是本地權限升級 LPE變體。此外，據 CERT/CC 稱，這些更新不包括 Windows 10 的 1607版、Windows Server 2012 或 Windows Server 2016。

兩個 PrintNightmare 漏洞
PrintNightmare 傳奇始於上週二，當時針對該漏洞的 PoC 概念驗證漏洞利用 ，展示了攻擊者如何利用該漏洞控制受影響的系統， 並被追蹤為代號 CVE-2021-1675 。儘管微軟發布了針對 CVE-2021-1675 的修補程式，其通常 Patch Tuesday 更新，解決了它認為的一個輕微的 EoP 漏洞，然而，許多專家很快就清楚，微軟的初始修補程式並沒有解決整個問題。 CERT/CC 週四為 PrintNightmare 提供了自己的解決方法，建議系統管理員在域控制器和不打印的系統中禁用 Windows Print Spooler 服務。更複雜的是，微軟上週四還發布了一個名為 「Windows Print Spooler 遠程代碼執行漏洞」的漏洞通知，該漏洞似乎是同一個漏洞，但具有不同的 CVE 編號——CVE-2021-34527。微軟當時在公告中寫道：此漏洞與分配為 CVE-2021-1675 的漏洞相似，但後者解決了 RpcAddPrinterDriverEx() 中的一個不同漏洞，攻擊向量也不同。 CVE-2021-1675 已在 2021 年 6 月的安全更新中得到解決。

微軟發佈不完整修補程式
本周發布的修復方案解決了 CVE-2021-34527 問題，並包括對 CVE-2021-1675 的保護，根據 CISA 的說法，CISA 鼓勵用戶和管理員查看微軟安全更新以及 CERT/CC 漏洞說明 VU #383432，並應用必要的更新或解決方法。但正如所指出的，它不會修復所有系統。因此，在系統不受修補程式保護的情況下，微軟為 PrintNightmare 提供了幾種變通方法。其中一個與聯邦政府上周的解決方案非常相似。通過使用以下 PowerShell 命令，停止和禁用 Print Spooler 服務，從而停止本地和遠程列印的能力。Stop-Service -Name Spooler -Force 和 Set-Service -Name Spooler -StartupType Disabled。第二個解決方法是通過組策略禁用入站遠程列印，禁用 「Allow Print Spooler to accept client connections 」策略來阻止遠程攻擊，然後重新啟動系統。在這種情況下，系統將不再具有列印服務器的功能，但仍然可以向直接連接的設備進行本地列印。據 CERT/CC 稱，另一個在 「有限測試 」中有效的防止遠程利用該漏洞的潛在方案是在防火牆層面上阻止 RPC 端點映射器（135/tcp）和SMB（139/tcp和445/tcp）。然而，在 Windows 系統上阻止這些埠可能會阻止預期的功能正常運行，特別是在作為服務器的系統上。

參考資料：
https://threatpost.com/microsoft-emergency-patch-printnightmare/167578/