我的位置 威胁预警  >  恶意代码公告

微软紧急推送PrintNightmare零日更新

来源:红数位 时间:2021-07-07 阅读次数:

Microsoft 已发布KB5004945紧急安全更新,以解决影响所有 Windows 版本的Windows Print Spooler服务中被积极利用的PrintNightmare零日漏洞。但是,该补丁不完整,仍然可以在本地利用该漏洞获得SYSTEM权限。

远程代码执行漏洞(编号为CVE-2021-34527)允许攻击者通过具有SYSTEM权限的远程代码执行(RCE)接管受影响的服务器,因为这将使他们能够安装程序、查看、更改或删除数据,以及创建具有完全用户权限的新帐户。

安全更新适用的系统:

  • Windows 10,版本 21H1 ( KB5004945 )

  • Windows 10,版本 20H1 ( KB5004945 )

  • Windows 10,版本 2004 ( KB5004945 )

  • Windows 10,版本 1909 ( KB5004946 )

  • Windows 10 版本 1809 和 Windows Server 2019 ( KB5004947 )

  • Windows 10 版本 1803 ( KB5004949 )

  • Windows 10 版本 1507 ( KB5004950 )

  • Windows 8.1 和 Windows Server 2012

    (每月汇总 KB5004954  / 仅安全 KB5004958)

  • Windows 7 SP1 和 Windows Server 2008 R2 SP1

    (每月汇总 KB5004953  / 仅安全 KB5004951)

  • Windows Server 2008 SP2

    (每月汇总KB5004955/仅安全KB5004959)

Windows 10版本1607、Windows Server 2016或Windows Server 2012的安全更新尚未发布,但据微软称,它们也将很快发布。

微软表示:“与这些更新相关的发行说明可能会在更新可供下载后最多延迟一个小时发布。”“其余受影响的受支持Windows版本的更新将在未来几天内发布。”

补丁仅修复远程利用

PrintNightmare漏洞包括远程代码执行 (RCE) 和本地权限提升 (LPE) 向量,可用于攻击以在易受攻击的系统上运行具有系统权限的命令。

微软发布紧急更新后,安全研究员Matthew Hickey证实该补丁仅修复了RCE而不是LPE组件。这意味着修复不完整,威胁行为者和恶意软件仍然可以在本地利用该漏洞获得系统权限。

也有招缓解

微软敦促客户立即安装这些紧急安全更新以解决PrintNightmare漏洞。

无法尽快安装这些更新的用户应查看CVE-2021-34527 安全公告中的常见问题解答和解决方法部分,了解有关如何保护其系统免受利用此漏洞的攻击的信息。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

可用的缓解选项包括禁用Print Spooler服务以在本地和远程删除打印功能,或通过组策略禁用入站远程打印以通过阻止入站远程打印操作来删除远程攻击媒介。

在第二种情况下,微软表示“该系统将不再充当打印服务器,但仍然可以将本地打印到直接连接的设备上。”

CISA上周还发布了关于PrintNightmare零日漏洞的通知,鼓励管理员在不用打印的服务器上禁用Windows Print Spooler服务。

 

 

原文来源:红数位

8条评论