第三方补丁开发商0patch已经介入帮助修复最近被安全研究人员意外泄露的PrintNightmare漏洞。虽然微软已经承认Windows Print Spooler存在安全漏洞,可能导致系统被远程入侵,但该公司只提供了解决方法,而没有提供补丁。因此,0patch--对在这种情况下提供帮助并不陌生--已经站出来,发布了自己的免费微补丁。
0patch如此热衷于提供帮助的原因之一是,微软建议的变通方法具有相当严重的后果。该公司在一篇博文中说:"微软已经确认PrintNightmare是CVE-2021-1675的一个独立漏洞,将其分配给CVE-2021-34527,并建议受影响的用户禁用Print Spooler服务或禁用远程打印"。
除了微软的建议,从社区收集到的解决方法包括从 "Pre-Windows 2000兼容访问"组中删除认证用户,以及设置打印线轴文件夹的权限以防止攻击。
所有这些缓解措施都可能产生不想要的和意想不到的副作用,可能会破坏生产中的功能,有些包括与打印无关的功能。
该公司正在为四个受影响的Windows Server版本提供免费补丁--2008 R2、2012、2016和2019。通常情况下,0patch对其大部分服务收费,但正如它过去所做的那样,它认为PrintNightmare漏洞引起的问题足够严重,可以免费提供帮助,直到微软制作一个官方补丁。
0patch表示其微补丁阻止了函数AddPrinterDriverEx的dwFileCopyFlags中的APD_INSTALL_WARNED_DRIVER标志绕过对象访问检查,这是使攻击得以成功的关键。"安装被警告的驱动程序"的功能并不常用,破坏它以换取保护Windows机器免受琐碎的远程利用是一个很好的权衡。
针对PrintNightmare的微补丁将是免费的,直到微软发布官方修复。如果你想使用它们,请在0patch中心创建一个免费账户,然后从0patch.com安装和注册0patch代理。其他一切都会自动发生,不需要重新启动计算机。
兼容性说明:一些Windows 10和服务器系统在运行0patch代理的系统上启动软件保护平台服务(sppsvc.exe)时偶尔会出现超时现象。这看起来像是Windows代码完整性缓解中的一个错误,它可以防止0patch组件被注入服务中(这没有问题),但有时也会做很多看似无意义的处理,导致进程启动超时。因此,可能会发生各种与许可有关的错误。这个问题如果发生,可以通过将sppsvc.exe从0patch注入中排除来解决,如本文所述。
完整的细节可以在这篇博文中找到:
https://blog.0patch.com/2021/07/free-micropatches-for-printnightmare.html