0patch发布拯救Windows PrintNightmare漏洞的免费微补丁

0patch_printnightmare.jpg

0patch如此热衷于提供帮助的原因之一是,微软建议的变通方法具有相当严重的后果。该公司在一篇博文中说:"微软已经确认PrintNightmare是CVE-2021-1675的一个独立漏洞,将其分配给CVE-2021-34527,并建议受影响的用户禁用Print Spooler服务或禁用远程打印"。

除了微软的建议,从社区收集到的解决方法包括从 "Pre-Windows 2000兼容访问"组中删除认证用户,以及设置打印线轴文件夹的权限以防止攻击。

所有这些缓解措施都可能产生不想要的和意想不到的副作用,可能会破坏生产中的功能,有些包括与打印无关的功能。

该公司正在为四个受影响的Windows Server版本提供免费补丁–2008 R2、2012、2016和2019。通常情况下,0patch对其大部分服务收费,但正如它过去所做的那样,它认为PrintNightmare漏洞引起的问题足够严重,可以免费提供帮助,直到微软制作一个官方补丁。

0patch表示其微补丁阻止了函数AddPrinterDriverEx的dwFileCopyFlags中的APD_INSTALL_WARNED_DRIVER标志绕过对象访问检查,这是使攻击得以成功的关键。"安装被警告的驱动程序"的功能并不常用,破坏它以换取保护Windows机器免受琐碎的远程利用是一个很好的权衡。

针对PrintNightmare的微补丁将是免费的,直到微软发布官方修复。如果你想使用它们,请在0patch中心创建一个免费账户,然后从0patch.com安装和注册0patch代理。其他一切都会自动发生,不需要重新启动计算机。

兼容性说明:一些Windows 10和服务器系统在运行0patch代理的系统上启动软件保护平台服务(sppsvc.exe)时偶尔会出现超时现象。这看起来像是Windows代码完整性缓解中的一个错误,它可以防止0patch组件被注入服务中(这没有问题),但有时也会做很多看似无意义的处理,导致进程启动超时。因此,可能会发生各种与许可有关的错误。这个问题如果发生,可以通过将sppsvc.exe从0patch注入中排除来解决,如本文所述。

完整的细节可以在这篇博文中找到:

https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html

相关文章:

零日漏洞PrintNightmare曝光:可在Windows后台执行远程代码

原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/37557.html

(0)
上一篇 2021年8月1日
下一篇 2021年8月1日

相关推荐

发表回复

登录后才能评论