PrintNightmare 漏洞的补丁管用吗?安全界和微软有不同看法
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
就在微软发布紧急更新,修复 Print Spooler 服务中严重的代码执行缺陷 (CVE-2021-1675) 的几天后,微软就开始调查研究员们的新一轮疑问:补丁并未修复‘PrintNightmare’ 漏洞。
对于微软而言,这两周过得很尴尬。安全研究员都在吐槽微软发出的缓解指南及其带外更新的有效性。
坚称补丁有用
微软发布简短声明称,“我们了解到这些说法并且正在调查,但这次我们并未发现绕过情况。我们发现一些关于绕过的说法称管理员将默认的注册表设置更改为不安全的配置。请参照CVE-2021-34527 的修复指南获取保护系统安全的设置信息。”
当地时间周四晚些时候,微软发布博客文章坚称,该紧急补丁“按设计起作用”并且“有效地防止已知的打印机欺骗利用。“微软表示调查了所有依靠将和 Point and Print 默认注册表设置更改为不安全的配置的报告,即在无需提供磁盘或其它安装媒介的情况下,允许 Windows 客户端和远程打印机创建连接的能力。
研究员不同意
多名研究员指出,在某些情况下该漏洞仍然展现出代码执行路径。Mimikatz 的创建人 Benjamin Delpy发布验证视频表示该漏洞仍然在完全修复的系统上起作用。在启用 Point and Print 能力且勾选 “NoWarningNoElevationOnInstall” 选项的情况下,Deply 发布的演示视频在 Windows 机器上起作用。
’PrintNightmare’ 漏洞对于微软而言可以说是自找苦吃。在6月的补丁星期二日,微软错误地判断了 Print Spooler 缺陷的严重性,在数周后才更新指南,证实了远程代码执行向量的存在。与此同时,黑帽大会宣布接受了关于某安全厂商提交的漏洞详情演讲,之后该漏洞的 PoC 利用代码流传到网络。
艰难承认是 0day
面对公众的批评,微软发布安全公告称”PrintNightmare” 确实是一个新 0day,和6月补丁星期二修复的漏洞不同。
Print Spooler 在Windows 系统上默认开启,是一个可执行文件,负责管理所有发送到计算机打印机或打印服务器的所有打印任务。
发布最新防护措施
尽管沟通磕磕绊绊,但微软强烈建议 Windows 用户立即采取如下措施:
在所有情况下,应用 CVE-2021-34527的安全更新。该更新不会更改现有的注册表设置。
应用该更新后,审计 CVE-2021-34527安全公告中记录的注册表设置。
如果记录的注册表键不存在,则后续无需采取任何措施。
如果记录的注册表键存在,则为保护系统安全,必须确认如下注册表键设置为0或者无显示:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) 或未定义(默认设置)
UpdatePromptSettings = 0 (DWORD) 或未定义(默认设置)
美国关键基础设施安全局 (CISA) 督促Windows 管理员禁用Domain Controllers 和系统中不执行打印任务的 Windows Print Spooler 服务。
推荐阅读
Windows PrintNightmare 漏洞和补丁分析
从 CVE-2020-1048 到 CVE-2020-17001:Windows打印机模块中多个提权漏洞分析
原文链接
https://www.securityweek.com/did-microsoft-botch-printnightmare-patch
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
PrintNightmare 漏洞的补丁管用吗?安全界和微软有不同看法相关推荐
- Windows PrintNightmare 漏洞和补丁分析
聚焦源代码安全,网罗国内外最新资讯! 一.背景 CVE-2021-34527是发生在windows打印服务中的漏洞,攻击者可以利用该漏洞使用低权限用户加载恶意DLL,实现远程代码执行.该漏洞于6月2 ...
- QCon速递:Xen漏洞热补丁修复、异地双活、ODPS新功能与金融互联网
QCon速递:Xen漏洞热补丁修复.异地双活.ODPS新功能与金融互联网
- VMware ESXi 高危漏洞的补丁被指不完整
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周三,VMware 通知客户称,了解到上个月某个严重漏洞的补丁不完整后,已为 ESXi 发布新补丁. 该漏洞的编号是 CVE-202 ...
- cve20190708补丁的kb名称_cve-2019-0708漏洞修复补丁下载|
cve-2019-0708漏洞补丁是款微软专门为最近的蠕虫病毒威胁更新的安全部队,可以帮助大家紧急修复电脑中的漏洞,降低风险和危害,正在使用win7系统的朋友赶快到本站下载体验吧! cve-2019- ...
- linux系统漏洞补丁包,RedHat 5.X、6.X Bash漏洞RPM补丁包下载
RedHat 5.X.6.X Bash漏洞RPM补丁包下载及教程. 首先查看服务器的BASH版本号: bash -version 如果BASH版本是4.X的64位系统的话,安装bash-4.1.2-1 ...
- weblogic漏洞打补丁,安装OPatch补丁
weblogic有漏洞CVE-2018-3191,查看oracle官方说明 Oracle Critical Patch Update - October 2018 T3协议的漏洞,共有三个版本受影响1 ...
- 有关微软安全漏洞及补丁(HotFix)的命名规则
微软公司每发布一个安全公告,都会为它取个唯一的代号,以便和其它补丁相区别,任何系统的源代码都不可能不存在设计缺陷.于是,像微软这样世界范围内赫赫有名的公司,它的产品也是漏洞百出,这些漏洞一旦被黑客所掌 ...
- Linux 之父恶评 Intel 漏洞修复补丁:完全就是垃圾!Intel:先别更新!
2018年1月2日,英特尔曝出的CPU设计漏洞事件: 详解 Intel 漏洞怎么拿到内核数据的(附视频演示) 事件一经曝光,就迅速引起业内硬件同行.操作系统厂商.云供应商的迅速反应.如果不能从硬件层面 ...
- 服务器简介(二):服务器安全威胁简介、漏洞和补丁简介
文章目录 服务器安全威胁 恶意程序 防御方法 黑客暴力破解 防御方法 SQL注入攻击 防御方法 DDoS攻击 防御方法 漏洞 漏洞的分类 漏洞存在的原因 漏洞扫描 常见扫描方法 补丁 服务器安全威胁 ...
最新文章
- FTP 服务搭建及常用的命令脚本及传输协议基础普及
- 查看spark是否有僵尸进程,有的话,先杀掉。可以使用下面命令
- 腾讯面经 | 数据从业者的一次“典型”面试
- 行动力决定了一个人的成败,有想法,就去做! C#的内存管理原理解析+标准Dispose模式的实现
- 【树链剖分】Disruption P(luogu 4374)
- keyshot环境素材文件_快速学会keyshot基础渲染的步骤
- 荣耀20首现身!“保密壳”却暴露双排摄像头
- 如何设置CentOS 7开机自动获取IP地址详解
- Layui默认表单校验规则
- 六石管理学:到了一定境界,确实可以随心所欲
- Android TextToSpeech TTS中文文本转语音(语音合成)
- 查看电脑的补丁以及win10如何进入dos系统
- Python中的 生成器、迭代器
- 官场直升机 鸿蒙笔著,鸿蒙笔会征文一等奖作品 《啼笑缘》续集
- 多线程基础讲解五: synchronized使用
- matlab移植linux qt总结 (未实现)(21.8.25 已另寻别径)
- 沙普利算法的java实现_盖尔-沙普利算法告诉你,你的对象在哪里?
- win10右键闪退到桌面_win10打开控制面板总闪退弹回桌面怎么办
- Elastic Search:(二)分词器
- react路由跳转之后回到页面顶部