微软7月6日释出的PrintNightmare漏洞修补，被研究人员判定无效
美国CERT/CC研究人员Will Dormann以及知名渗透工具Mimikatz开发者直言，影响Windows
打印多工缓冲处理器的PrintNighmare漏洞，具备LPE及RCE两种属性，但微软在7月6日提
供的修补，并未解决RCE以及LPE漏洞引发的安全问题
文/林妍溱 | 2021-07-09发表
研究人员发现，微软针对CVE-2021-34527（PrintNightmare）紧急释出的修补程式，似乎
尚未完整修补漏洞。
微软本周二（7/6）释出的频外更新修补了主要Windows服务器，包括Windows Server
2012、2016及2019上的CVE-2021-34527及类似的漏洞CVE-2021-1675。
CVE-2021-34527允许远端攻击者在Windows网域控制器上，取得系统管理员权限，并安装
执行程式码、变更或删除档案及新增使用者帐号，影响启动Point and Print政策的
Windows网域控制器。微软最新更新要求一般使用者仅能安装经合法签发的打印机驱动程
式，管理员则可安装经签发或未经签发的驱动程式。此外管理员也能设定
RestrictDriverInstallationToAdministrators记录档，不让非管理员安装打印机驱动程
式。
然而安全专家先后发现，微软可能修补不全。影响Windows打印多工缓冲处理器（Print
Spooler）的PrintNighmare漏洞，具备LPE（Local Privilege Escalation）及RCE（
remote code execution）两种属性。美国网络紧急应变小组协调中心（CERT/CC）研究人
员Will Dormann及其他研究人员相信，RCE部份已经解决，但LPE则仍未能修补，使用先前
释出的PoC仍然能在Windows服务器上升级到系统（System）权限。
接着知名渗透工具Mimikatz开发者、法国央行（Banque de France）安全研究人员
Benjamin Delpy更进一步发现，微软7月6日释出的频外更新，连RCE问题也未修补好。他
指出，改造过的Mimikatz可以绕过Windows对远端函式库的检查机制，方法是档案路径上
使用通用命名惯例（Universal Naming Convention，UNC）即可绕过检查，而在启动
Point and Print政策、完全修补的Windows服务器执行程式码。意谓著LPE或RCE两个问题
都未能解决。他也质疑微软可能未详尽测试最新的修补程式。
Dormann等研究人员呼吁外界不要安装微软7月6日释出的修补程式，可使用外部业者
0Patch释出的非官方修补程式，直到微软完整修补。未能安装者，至少应关闭这些机器上
的Print Spooler打印服务。
https://www.ithome.com.tw/news/145546
7/6的修补程式，白装了，原来根本没用啊