Credit: 賈希大人不氣餒!
靈感來源:UCCU Hacker
主角:菜鳥 IT 小新
故事發生在 2021 年,小新有一天上班與同事討論最近有沒有資安漏洞更新需要做,
老鳥老K: 「小新,你看一下最近有人說 CVE-2021-1675 變成新的漏洞,還取了一個很厲害的名字。」
小新:「聽說叫做 printnightmare 是印表機的漏洞,好像很嚴重耶,微軟目前只有叫客戶關閉印表機」
老K: 「Server 還好關,普通人的電腦關閉印表機那些業務不用做事了膩,每次微軟都給這種建議!(氣)」
小新:「那我持續關注,能關/沒有必要的 Server 我就先安排關閉 Print Spooler Service 囉」
老K: 「也只能這樣了,有更新你就先把你的電腦做更新確認沒問題在讓大家快點更新」
就這樣小新開始了他的更新夢魘...
第一次 printnightmare 更新,小新想說太棒了吧,更新那麼快馬上開始測試
但過了一天,從做資安的朋友那邊的消息說微軟更新不完全還是有漏洞
小新心想,那我多等一個禮拜好了,下禮拜應該就有更新了吧
下一個禮拜,微軟沒有修復 printnightware 並且上次的更新導致一些印表機廠商的印表機不能列印了。
不知過了多久,小新想起這個漏洞了,馬上去微軟 MSRC 檢查有沒有更新訊息,
不看還好,看完小新就一個頭兩個大,更新雖然能微軟補完,但微軟加了一堆說明,
小新根本看不懂不小心怎麼檢查,馬上詢問了做資安的朋友。
做資安的朋友:「好消息是微軟修好了,壞消息是很多場域套了更新還是可能有問題」
((小新當場昏了一下
上面故事提到的漏洞也就是 printnightmare
CVE 編號: CVE-2021-1675 -> CVE-2021-34527
可怕的是,就算你上了更新可能你的場域還是有 LPE/RCE 的危害存在。
為甚麼呢?一切都是微軟與各位 IT 與印表機的歷史共業,
幫各位畫幾個重點,為什麼上了更新可能還是有問題
Point and Print ,在 Vista 之後為了幫在裝印表機 Driver 會跳 UAC
大家覺得這實在太麻煩了,使用者會問東問西,所以許多廠商包括微軟都會教你說可以考慮關掉提示
這時候其中一項導致無法完全修復的原因就出現了,幫你裝惡意 print driver 也不用提權 <3
以下截圖自微軟論壇裡面的圖,外國很多 IT 也是這樣做。
Remote Printing ,一個友善的設計 Share 印表機給大家但因為安裝 driver 的關係,也導致有類似的問題。
如果你關閉了 remote printing ,恭喜你駭客不能 RCE 你,但你仍然有機會被 LPE。
上面講了那麼多,你一定會很好奇到底甚麼狀況會被 printnightmare 影響,
所以附上一張參考價值極高的圖,有興趣的可以鑽研。