微软7月6日释出的PrintNightmare漏洞修补，被研究人员判定无效

研究人员发现，微软针对CVE-2021-34527（PrintNightmare）紧急释出的修补程式，似乎尚未完整修补漏洞。

微软本周二（7/6）释出的频外更新修补了主要Windows服务器，包括Windows Server 2012、2016及2019上的CVE-2021-34527及类似的漏洞CVE-2021-1675。

CVE-2021-34527允许远端攻击者在Windows网域控制器上，取得系统管理员权限，并安装执行程式码、变更或删除档案及新增使用者账号，影响启动Point and Print政策的Windows网域控制器。微软最新更新要求一般使用者仅能安装经合法签发的打印机驱动程式，管理员则可安装经签发或未经签发的驱动程式。此外管理员也能设定RestrictDriverInstallationToAdministrators记录档，不让非管理员安装打印机驱动程式。

然而安全专家先后发现，微软可能修补不全。影响Windows打印多工缓冲处理器（Print Spooler）的PrintNighmare漏洞，具备LPE（Local Privilege Escalation）及RCE（remote code execution）两种属性。美国网络紧急应变小组协调中心（CERT/CC）研究人员Will Dormann及其他研究人员相信，RCE部分已经解决，但LPE则仍未能修补，使用先前释出的PoC仍然能在Windows服务器上升级到系统（System）权限。

接着知名渗透工具Mimikatz开发者、法国央行（Banque de France）安全研究人员Benjamin Delpy更进一步发现，微软7月6日释出的频外更新，连RCE问题也未修补好。他指出，改造过的Mimikatz可以绕过Windows对远端函式库的检查机制，方法是档案路径上使用通用命名惯例（Universal Naming Convention，UNC）即可绕过检查，而在启动Point and Print政策、完全修补的Windows服务器执行程式码。意谓著LPE或RCE两个问题都未能解决。他也质疑微软可能未详尽测试最新的修补程式。

Dormann等研究人员呼吁外界不要安装微软7月6日释出的修补程式，可使用外部业者0Patch释出的非官方修补程式，直到微软完整修补。未能安装者，至少应关闭这些机器上的Print Spooler打印服务。