iT邦幫忙

2021 iThome 鐵人賽

DAY 8
1
Security

網路奇妙物語 - IT&Security 系列 第 8

靈異現象 - 我是你的惡夢

  • 分享至 

  • xImage
  •  

靈異現象 - 我是你的惡夢

https://ithelp.ithome.com.tw/upload/images/20210907/20141165SCFSpAIJFF.png
Credit: 賈希大人不氣餒!
靈感來源:UCCU Hacker

靈異現象

主角:菜鳥 IT 小新

故事發生在 2021 年,小新有一天上班與同事討論最近有沒有資安漏洞更新需要做,
老鳥老K: 「小新,你看一下最近有人說 CVE-2021-1675 變成新的漏洞,還取了一個很厲害的名字。」
小新:「聽說叫做 printnightmare 是印表機的漏洞,好像很嚴重耶,微軟目前只有叫客戶關閉印表機」
老K: 「Server 還好關,普通人的電腦關閉印表機那些業務不用做事了膩,每次微軟都給這種建議!(氣)」
小新:「那我持續關注,能關/沒有必要的 Server 我就先安排關閉 Print Spooler Service 囉」
老K: 「也只能這樣了,有更新你就先把你的電腦做更新確認沒問題在讓大家快點更新」
就這樣小新開始了他的更新夢魘...

第一次 printnightmare 更新,小新想說太棒了吧,更新那麼快馬上開始測試
但過了一天,從做資安的朋友那邊的消息說微軟更新不完全還是有漏洞
小新心想,那我多等一個禮拜好了,下禮拜應該就有更新了吧
下一個禮拜,微軟沒有修復 printnightware 並且上次的更新導致一些印表機廠商的印表機不能列印了。

不知過了多久,小新想起這個漏洞了,馬上去微軟 MSRC 檢查有沒有更新訊息,
不看還好,看完小新就一個頭兩個大,更新雖然能微軟補完,但微軟加了一堆說明,
小新根本看不懂不小心怎麼檢查,馬上詢問了做資安的朋友。

做資安的朋友:「好消息是微軟修好了,壞消息是很多場域套了更新還是可能有問題」
((小新當場昏了一下

真實情況

上面故事提到的漏洞也就是 printnightmare
CVE 編號: CVE-2021-1675 -> CVE-2021-34527
可怕的是,就算你上了更新可能你的場域還是有 LPE/RCE 的危害存在。
為甚麼呢?一切都是微軟與各位 IT 與印表機的歷史共業,

幫各位畫幾個重點,為什麼上了更新可能還是有問題

  1. Point and Print ,在 Vista 之後為了幫在裝印表機 Driver 會跳 UAC
    大家覺得這實在太麻煩了,使用者會問東問西,所以許多廠商包括微軟都會教你說可以考慮關掉提示
    這時候其中一項導致無法完全修復的原因就出現了,幫你裝惡意 print driver 也不用提權 <3
    以下截圖自微軟論壇裡面的圖,外國很多 IT 也是這樣做。

  2. Remote Printing ,一個友善的設計 Share 印表機給大家但因為安裝 driver 的關係,也導致有類似的問題。
    如果你關閉了 remote printing ,恭喜你駭客不能 RCE 你,但你仍然有機會被 LPE。

    上面講了那麼多,你一定會很好奇到底甚麼狀況會被 printnightmare 影響,
    所以附上一張參考價值極高的圖,有興趣的可以鑽研。
    PrintNightmare exploitability flowchart

參考資料


上一篇
鬼故事 - 這東西真爛
下一篇
鬼故事 - 我不曉得這東西為甚麼會動
系列文
網路奇妙物語 - IT&Security 30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言