PrintNightmare漏洞補丁再被繞過!新的手段可獲得Windows管理員許可權

6月披露了一個名為PrintNightmare (CVE-2021-34527)的零日 Windows 列印後臺處理程式漏洞，該漏洞允許遠端執行程式碼和提升許可權。

雖然微軟釋出了一個漏洞補丁來修復這個漏洞，但研究人員很快就找到了在特定條件下繞過補丁的方法——研究人員建立了一個可透過Internet 訪問的列印伺服器，允許任何人以管理許可權開啟命令提示符，透過安裝列印驅動程式來完全控制裝置。

現在任何人都可以獲得Windows SYSTEM許可權

安全研究員和Mimikatz的建立者Benjamin Delpy一直處於持續研究PrintNightmare 的最前沿，透過特製的印表機驅動程式和濫用 Windows API釋出了多種繞過更新補丁來利用漏洞。

Delpy在他的研究中，透過在\\printnightmare[.]gentilkiwi[.]com建立了一個可透過 Internet訪問的列印伺服器，該伺服器安裝列印驅動程式並啟動具有SYSTEM許可權的 DLL。

最初，啟動的DLL會將日誌檔案寫入C:\Windows\System32資料夾，該資料夾應該只能由具有提升許可權的使用者寫入。為了驗證他最初的列印驅動程式可以提升許可權，因此Delpy修改了驅動程式以啟動SYSTEM命令提示符。

這種新方法有效地允許任何人，包括威脅參與者，透過安裝遠端列印驅動程式就可以獲得管理許可權。一旦他們獲得了機器的管理許可權，他們就可以執行任何命令、新增使用者或安裝任何軟體，有效地讓他們完全控制系統。

這種技術對於破壞網路以部署勒索軟體的威脅行為者特別有用，因為它允許快速輕鬆地訪問裝置上的管理許可權，幫助他們透過網路橫向傳播。

BleepingComputer在一臺打了完整補丁的Windows 10 21H1電腦上安裝了Delpy的列印驅動程式，使用者擁有“標準”(有限)特權來測試這項技術。

可以看到，一旦安裝了印表機並禁用了檢測惡意印表機的Windows Defender，就會開啟一個命令提示符，讓我們在計算機上擁有完全的SYSTEM特權。

Delpy表示，建立此驅動的目的是為了引起微軟注意，使其優先考慮此問題。他還表示，無法確定哪些IP地址屬於研究人員或威脅行為者。Delpy警告說，這並不是Windows列印後臺處理程式濫用的結束。

緩解新的印表機漏洞

由於任何人都可以在Internet上濫用此遠端列印伺服器來獲得Windows裝置上的系統級許可權，因此Delpy提供了多種方法來緩解此漏洞。

選項 1：禁用Windows列印假離線程式

防止所有 PrintNightmare漏洞的最極端方法是使用以下命令禁用Windows列印假離線程式。

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

但是，使用此緩解措施將使印表機無法列印。

選項 2：在您的網路邊界阻止RPC和SMB流量

由於Delpy利用遠端列印伺服器，因此您應該在您的網路邊界阻止所有RPC 端點對映器 ( 135/tcp)和SMB (139/tcp 和 445/tcp) 流量。但阻止這些協議可能會影響到現有功能。

選項 3：配置 Package Point And Print Server List

防止遠端伺服器利用此漏洞的最佳方法是使用“Package Point and print - Approved servers”組策略，將指向和列印功能限制在批准伺服器的列表中。此策略阻止非管理員使用者使用點和列印安裝列印驅動程式。

要啟用此策略，請啟動組策略編輯器(gpedit.msc)，並導航到使用者配置>管理模板>控制皮膚>印表機>包點和列印批准的伺服器。

然後啟用策略並輸入您希望允許用作列印伺服器的伺服器列表。

使用此組策略將提供針對已知漏洞的最佳保護，但不能阻止威脅參與者使用惡意驅動程式接管允許的列印伺服器。

一而再再而三披露的漏洞讓我們意識到，網路空間的安全並不是出現問題打好補丁就能一勞永逸。而漏洞的存在對網路安全起著至關重要的影響，美國國家標準與技術局(NIST)、國家漏洞資料庫(NVD)有資料顯示，90%以上的網路安全問題是由軟體自身的安全漏洞被利用導致!因此，提升軟體自身安全為網路安全防護起到重要的補充作用。

調查顯示，超六成的安全漏洞都與程式碼有關，這就意味著在軟體開發生命週期當中， 檢測靜態程式碼的安全性可以有效減少軟體安全漏洞，大大提高軟體安全性，從系統內部增強網路抵抗惡意攻擊能力。

Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!