第三方補丁開發商0patch已經介入幫助修復最近被安全研究人員意外泄露的PrintNightmare漏洞。雖然微軟已經承認Windows
Print
Spooler存在安全漏洞,可能導致系統被遠程入侵,但該公司只提供了解決方法,而沒有提供補丁。因此,0patch–對在這種情況下提供幫助並不陌生–已經站出來,發布了自己的免費微補丁。
0patch如此熱衷於提供幫助的原因之一是,微軟建議的變通方法具有相當嚴重的後果。該公司在一篇博文中說:”微軟已經確認PrintNightmare是CVE-2021-1675的一個獨立漏洞,將其分配給CVE-2021-34527,並建議受影響的用戶禁用Print Spooler服務或禁用遠程打印”。
除了微軟的建議,從社區收集到的解決方法包括從 “Pre-Windows 2000兼容訪問”組中刪除認證用戶,以及設置打印線軸文件夾的權限以防止攻擊。
所有這些緩解措施都可能產生不想要的和意想不到的副作用,可能會破壞生產中的功能,有些包括與打印無關的功能。
該公司正在為四個受影響的Windows Server版本提供免費補丁–2008 R2、2012、2016和2019。通常情況下,0patch對其大部分服務收費,但正如它過去所做的那樣,它認為PrintNightmare漏洞引起的問題足夠嚴重,可以免費提供幫助,直到微軟製作一個官方補丁。
0patch表示其微補丁阻止了函數AddPrinterDriverEx的dwFileCopyFlags中的APD_INSTALL_WARNED_DRIVER標誌繞過對象訪問檢查,這是使攻擊得以成功的關鍵。”安裝被警告的驅動程序”的功能並不常用,破壞它以換取保護Windows機器免受瑣碎的遠程利用是一個很好的權衡。
針對PrintNightmare的微補丁將是免費的,直到微軟發布官方修復。如果你想使用它們,請在0patch中心創建一個免費賬戶,然後從0patch.com安裝和註冊0patch代理。其他一切都會自動發生,不需要重新啟動計算機。
兼容性說明:一些Windows 10和服務器系統在運行0patch代理的系統上啟動軟件保護平台服務(sppsvc.exe)時偶爾會出現超時現象。這看起來像是Windows代碼完整性緩解中的一個錯誤,它可以防止0patch組件被注入服務中(這沒有問題),但有時也會做很多看似無意義的處理,導致進程啟動超時。因此,可能會發生各種與許可有關的錯誤。這個問題如果發生,可以通過將sppsvc.exe從0patch注入中排除來解決,如本文所述。
完整的細節可以在這篇博文中找到:
https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html
相關文章:
零日漏洞PrintNightmare曝光:可在Windows後台執行遠程代碼