靈異現象 - 我是你的惡夢

Credit: 賈希大人不氣餒！
靈感來源：UCCU Hacker

靈異現象

主角：菜鳥 IT 小新

故事發生在 2021 年，小新有一天上班與同事討論最近有沒有資安漏洞更新需要做，
老鳥老K: 「小新，你看一下最近有人說 CVE-2021-1675 變成新的漏洞，還取了一個很厲害的名字。」
小新：「聽說叫做 printnightmare 是印表機的漏洞，好像很嚴重耶，微軟目前只有叫客戶關閉印表機」
老K: 「Server 還好關，普通人的電腦關閉印表機那些業務不用做事了膩，每次微軟都給這種建議！(氣)」
小新：「那我持續關注，能關/沒有必要的 Server 我就先安排關閉 Print Spooler Service 囉」
老K: 「也只能這樣了，有更新你就先把你的電腦做更新確認沒問題在讓大家快點更新」
就這樣小新開始了他的更新夢魘...

第一次 printnightmare 更新，小新想說太棒了吧，更新那麼快馬上開始測試
但過了一天，從做資安的朋友那邊的消息說微軟更新不完全還是有漏洞
小新心想，那我多等一個禮拜好了，下禮拜應該就有更新了吧
下一個禮拜，微軟沒有修復 printnightware 並且上次的更新導致一些印表機廠商的印表機不能列印了。

不知過了多久，小新想起這個漏洞了，馬上去微軟 MSRC 檢查有沒有更新訊息，
不看還好，看完小新就一個頭兩個大，更新雖然能微軟補完，但微軟加了一堆說明，
小新根本看不懂不小心怎麼檢查，馬上詢問了做資安的朋友。

做資安的朋友：「好消息是微軟修好了，壞消息是很多場域套了更新還是可能有問題」
（（小新當場昏了一下

真實情況

上面故事提到的漏洞也就是 printnightmare
CVE 編號: CVE-2021-1675 -> CVE-2021-34527
可怕的是，就算你上了更新可能你的場域還是有 LPE/RCE 的危害存在。
為甚麼呢？一切都是微軟與各位 IT 與印表機的歷史共業，

幫各位畫幾個重點，為什麼上了更新可能還是有問題

1. Point and Print ，在 Vista 之後為了幫在裝印表機 Driver 會跳 UAC
   大家覺得這實在太麻煩了，使用者會問東問西，所以許多廠商包括微軟都會教你說可以考慮關掉提示
   這時候其中一項導致無法完全修復的原因就出現了，幫你裝惡意 print driver 也不用提權 <3
   以下截圖自微軟論壇裡面的圖，外國很多 IT 也是這樣做。
   

2. Remote Printing ，一個友善的設計 Share 印表機給大家但因為安裝 driver 的關係，也導致有類似的問題。
   如果你關閉了 remote printing ，恭喜你駭客不能 RCE 你，但你仍然有機會被 LPE。

   上面講了那麼多，你一定會很好奇到底甚麼狀況會被 printnightmare 影響，
   所以附上一張參考價值極高的圖，有興趣的可以鑽研。
   

參考資料

• https://www.kb.cert.org/vuls/id/383432
• https://twitter.com/gentilkiwi/status/1412424077655085072/photo/1
• https://systemcenterdudes.com/windows-10-point-and-print-printer-installation-prompt-uac/